Nem elég az omikron variáns terjedése, vagy éppen a tavaly különös körülmények között elhallgató kínai teniszező miatt kibontakozó nyugati diplomáciai bojkott, a február 4-én startoló 2022-es téli olimpia szervezőinek további gondokat okozhat egy frissen nyilvánosságra hozott biztonsági jelentés.

A problémát a MY2022 elnevezésű alkalmazás jelenti, amelynek használatát a helyi hatóságok elsősorban a koronavírus-járvány szükséges monitorozás miatt teszik kötelezővé a sporteseményen résztvevők (sportolók, edzők, újságírók stb.) számára. Az utazási információkat, egészségügyi dokumentációt és egyéb érzékeny személyes adatokat egyaránt kezelő app kódját még tavaly alaposan átvizsgálták a Torontói Egyetemhez tartozó kiberbiztonsági központ, a Citizen Lab szakértői.

Kiderült, a szoftver több szempontból sem felel meg sem a nagy alkalmazásáruházak szabályzatának, sem a Kínában érvényes jogszabályoknak. Az adattovábbítás ugyanis számos érzékeny adat esetben hiányos titkosítási protokollal, vagy éppen a titkosítás teljes mellőzésével történik, ami értelemszerűen nagyon megkönnyíti az ezekre az információkra esetlegesen pályázók dolgát. Az már szinte csak hab a tortán, hogy a program tartalmaz egy cenzúrázandó kifejezéseket tartalmazó állományt is (a Tienanmen tértől a dalai lámáig). Igaz, a jelek szerint ez a funkció nincs élesítve.

A feltárt problémákról a Citizen Lab még december elején értesítette a pekingi szervezőbizottságot, ám onnan azóta sem kaptak semmiféle visszajelzést. A MY2022 app közben januárban frissült, ugyanakkor a feltárt hiányosságok ebben az új verzióban továbbra is tetten érhetők. 

Kérdés, mi következik most, hogy a problémákat nyilvánosságra hozta a kanadai szervezet. Azok ugyanis nem csupán az Apple App Store és a Google Play Áruház alkalmazásokra vonatkozó biztonsági előírásait sértik, de az érvényben lévő helyi rendelkezésekkel is szembe mennek.

A kutatók egyébként úgy tippelik, ezúttal inkább hanyagságról, mint tudatos akcióról van szó. A kínai államapparátust gyakran éri külföldről az a vád, hogy jogsértő módon igyekszik minden fellelhető adatmorzsára rátenni a kezét, keletkezzen az házon belül, vagy éppen kívül. Ebben az esetben viszont az érintett adatok alapból a hatóságoknál landolnak, tehát nincs sok értelme a titkosítási eljárások elhanyagolásának.

Volt már máshol is gond

A koronavírus miatt egy sor másik országban is sietve kezdtek bevezetni kontaktkövetést, a járvány megfékezését segítő mobil alkalmazásokat. A gyorsaságnak azonban több esetben oda vezetett, hogy a fejlesztés során háttérbe szorultak a biztonsági kritériumok, illetve a potenciálisan felmerülő jogi következményeket sem mérlegelték kellő alapossággal.

Norvégiában például már 2020 áprilisában elindították a Smittestopp (kb. fertőzésstop) nevű appot, amely a felhasználókat figyelmeztette, amennyiben fertőzött egyénnel találkoztak. Júniusban azonban az adatvédelmi hatóság már arra jutott, hogy az alkalmazás potenciális, nem bizonyított előnyeit messze meghaladják a szoftverhez kötődő, személyiségi jogokkal kapcsolatos aggályok. Mindez pedig egy hónappal később már az app felfüggesztését eredményezte.