U detaljnom izvješću koje je sastavio kanadski Citizen Lab, istraživači su analizirali aplikaciju MY2022 i potencijalne probleme privatnosti i sigurnosti vezane uz službenu aplikaciju Zimskih olimpijskih igara u Pekingu 2022.

Dug popis osjetljivih informacija

Istraga je pokazala da aplikacija prikuplja dugi popis osjetljivih informacija, uključujući identifikatore uređaja i model hardvera, podatke davatelja usluga, popis drugih aplikacija instaliranih na uređaju, status WLAN-a, lokaciju u stvarnom vremenu, pristup zvuku i pristup pohrani, između ostalih osjetljivih osobnih podataka.

Prikupljanje ovih podataka navodno je potrebno za kontrolu zaštite od Covida-19, usluge prevođenja, integraciju Weiboa te turističke preporuke i navigaciju.
Prema Citizen Labu, sustav enkripcije aplikacije također ima veliku manu koja potencijalno omogućuje neželjeni pristup dokumentima, zvuku i datotekama spremljenim na uređaju u tekstualnom obliku.

Aplikacija MY2022 također je podložna cenzuri na temelju ugrađenog popisa ključnih riječi, koje uključuju imena kineskih čelnika i vladinih agencija, kao i reference na masakr prodemokratskih prosvjednika na Trgu Tiananmen 1989. Takva značajka je očito nije neuobičajena za aplikacije u Kini.

Politika privatnosti aplikacije također je nejasna pa se ne zna tko ili što točno prima i obrađuje osjetljive podatke koje korisnici moraju unijeti u nju. To je izravno kršenje smjernica za aplikacije kojih se drže i Google i Apple, no aplikacija je još uvijek dostupna u obje trgovine aplikacijama. Štoviše, upozorava Citizen Lab, aplikacija krši čak i kineske zakone o zaštiti privatnosti.

Tko sve mora instalirati aplikaciju

Nije jasno ni je li uporaba MY2022 obvezna ili neobavezna. Svi sportaši, novinari i gledatelji moraju instalirati aplikaciju i dodati joj svoje osobne podatke ako žele nazočiti Igrama. 

MY2022 od kineskih građana prikuplja imena, nacionalne identifikacijske brojeve, telefonske brojeve, adrese e-pošte, slike profila i podatke o zapošljavanju i te podatke dijeli s Organizacijskim odborom igara.

Od inozemnih posjetitelja aplikacija prikuplja potpune podatke o putovnici, dnevnom zdravstvenom stanju, statusu cijepljenja protiv Covida-19, demografske podatke i ime organizacije za koju rade.

Presretanje i prisluškivanje

Citizen Lab je otkrio nedostatke i u SSL-temeljenoj enkripciji aplikacije, što bi pak moglo dopustiti lažne veze zbog problema s provjerom valjanosti certifikata. Napadač bi potencijalno mogao prevariti više poslužitelja, pretvarajući se da je pouzdano odredište, i presresti osjetljive podatke koji dolaze iz aplikacije.

Analitičari su također otkrili da preneseni podaci nisu uvijek šifrirani, pa se neki prijenosi mogu presresti i lako očitati putem prisluškivanja mrežnih paketa.

Svi rizici koje je otkrio Citizen Lab prijavljeni su Pekinškom organizacijskom odboru za Zimske Olimpijske i Paraolimpijske igre 2022. početkom prosinca prošle godine, ali nikakav odgovor nisu dobili do 18. siječnja, kada su istraživači javno objavili svoje nalaze.

Iako su programeri aplikacije tada objavili ažuriranje aplikacije za verziju 2.0.5, daljnjom analizom najnovije verzije utvrđeno je da prethodno prijavljeni problemi ostaju neriješeni.

Konfiguriranje po volji

Međunarodni olimpijski odbor u kojem se kaže da aplikaciju MY2022 korisnici mogu konfigurirati tako da onemogući pristup značajkama kao što su "datoteke i mediji, kalendar, kamera, kontakti", kao i informacije o lokaciji, navodeći da: "Korisnik ima kontrolu nad onim čemu aplikacija MY2022 može pristupiti na njihovom uređaju. Oni mogu promijeniti postavke već tijekom instaliranja aplikacije ili u bilo kojem trenutku nakon toga."

Tvrtka za kibernetičku sigurnost Internet 2.0 preporučila je pak da svi stranci koji sudjeluju na Olimpijskim igrama u Pekingu trebaju koristiti telefon ili tablet s "burnerom" i stvoriti novi račun e-pošte koji će koristiti isključivo tijekom svog boravka u Kini.