Oficiální olympijská aplikace ukazuje, že žijeme v „chytrém pekle“

Glosa
1
Oficiální olympijská aplikace ukazuje, že žijeme v „chytrém pekle“
Fotografie: Panos Deligiannidis, unsplash.com

Jako by pořádání zimních olympijských her v průběhu pandemie a v totalitní zemi nebylo už tak dost kontroverzní, pořadatelé řádně přilili oleje do ohně, když představili oficiální aplikaci pro sportovce a další návštěvníky her. Za nevinným doručováním zpráv a kontrolou zdravotního stavu se skrývá něco, z čeho bezpečnostním expertům vstávají vlasy na hlavě.

Po dvou letech života v pandemii a navazujících vládních opatření už prakticky nikomu nepřijde divné, když si kvůli tomu či onomu musíte nainstalovat nějakou aplikaci – vzhledem k tomu, že i při „skoku na jedno“ byste správně měli mít certifikát, ani vás nenapadne přemýšlet o tom, že Čína vyžaduje zase aplikaci MY2022, které pomůže sportovcům s účastí na hrách, jež jsou kvůli neustálému testování a dalším opatřením logistickým hororem.

Když se však experti z Citizen Lab při Torontské univerzitě podívali aplikaci pod pokličku, nestačili se divit. Aplikace je plná bezpečnostních chyb a zůstává otázkou, jestli jde o trestuhodnou nedbalost, nebo dokonce o záměr. Jak totiž ukazuje podrobná rozborka, nacházejí se zde i funkce, které jako by byly navrženy pro zásah do soukromí.

MY2022
Roztomilá panda je jen fasáda pro věci, které už tak hezké nejsou...

Hlavní nedostatek spočívá v neověření certifikátů SSL. Neschopnost ověřit protistranu v šifrované komunikaci pak otevírá případným útočníkům (ale i provozovatelům) možnost podvrhnout prakticky cokoli. Mnohdy to ani není nutné, protože spousta údajů putuje z aplikace v nešifrované podobě neznámo kam. Další bezpečnostní prohřešek pak spočívá v tom, že aplikace až příliš ochotně sdílí s některými telefony (hlavně s těmi od čínských výrobců) mnohé údaje, jako je poloha, seznam nainstalovaných aplikací a tak dále.

A jako třešničku na dortu tu máme seznam pro cenzuru: nepříliš nápaditě pojmenovaný soubor illegalwords.txt, který obsahuje celkem 2 442 záznamů. Funkce byla ve zkoumané verzi aplikace nefunkční, nejspíše čekala na aktualizaci nebo pokyn ze serveru, takže není zcela jasné, jestli má skutečně cenzurovat, nebo jenom upozornit na závadné chování. Vedle obligátních politických témat (Tibet, Hongkong, Náměstí nebeského klidu...) je zde totiž i plno vulgarit a výrazů vztahujících se k sexu nebo pornografii.

Obrana? Předstírat „hloupost“

Experti z Citizen Lab došli k závěru, že takové chování aplikace porušuje nejen pravidla obchodů s aplikacemi Googlu a Applu, ale dokonce i čínské zákony. Obeslali proto patřičná místa, ale podle jejich mlčení je patrné, že se nikomu nechce „tahat horký brambor z ohně“ a všichni raději počkají, až se hry přeženou. Začínají ostatně už 4. února.

Obrana tak spočívá na samotných účastnících a je překvapivě jednoduchá. Podle britského listu The Telegraph jsou tamní sportovci neoficiálně instruováni, aby do dějiště olympijských her zavítali pouze se starým tlačítkovým telefonem, do kterého nejdou instalovat aplikace. Je však možné, že to bude Čína snažit řešit věnováním nějakého vlastního telefonu, protože aplikace je povinná pro všechny účastníky her.

Může se vám zdát, že takové problémy jsou čistě hypotetické, pokud se zrovna nechystáte do Číny. Ale další případy ukazují, že chytrý telefon napěchovaný informacemi je pro stát a firmy něco jako „bonbón pro vosu“ a je jedno, jaké jsou jejich skutečné pohnutky. Proto nemusí být daleko doba, kdy budeme hloupé tlačítkové telefony shánět my všichni.