[1]لقطة شاشة لتطبيق My2022 مأخوذة من مختبر “سيتيزن لاب”.
عثر مختبر “سيتيزن لاب” (Citizen Lab) الكندي المختص بمراقبة حرية الإنترنت على ثغرة “مدمرة” [1] بتطبيق My2022 – وهو تطبيق مراقبة الصحة إلزامي على كافة حضور الأولمبياد الشتوية في بكين – تُهدد الاتصالات المشفرة وتجعل البيانات الشخصية – بما في ذلك الملفات الصوتية والحالة الصحية ومعلومات جواز السفر وتاريخ السفر والتاريخ الطبي – عرضة لاستغلال الآخرين.
كما أصدر شركة Internet 2.0 للأمن السيبراني تنبيهًا [2] بشأن الممارسات الرقابية السائدة في الصين، واقترحت على القادمين من الخارج ترك هواتفهم في موطنهم واستخدام هواتف مؤقتة أثناء تواجدهم في الصين.
أما اللجنة الأولمبية الدولية (IOC) فلقد رفضت [3] التدقيق الأمني الذي قدمه مختبر “سيتيزن لاب” وأكدت على عدم وجود “ثغرات مدمرة” بتطبيق بكين للصحة حسب التقييمات التي أجرتها منظمتان مستقلتان لاختبار الأمن السيبراني.
يتعيّن على الرياضيين والصحفيين وكافة حضور دورة الألعاب الأولمبية الشتوية في بكين تنزيل تطبيق My2022 قبل 14 يومًا من توجههم إلى الصين، وعلى المستخدمين توفير معلومات السفر والبيانات الصحية بما في ذلك نتيجة اختبار تشخيص فيروس كورونا (كوفيد-19) وشهادة تطعيم لقاح كورونا. كما أن تطبيق My2022 لديه خاصية معرفة الأخبار ومشاركة الملفات والرسائل الصوتية ومراسلة الفيديو.
أشار تقرير مختبر “سيتيزن لاب” الصادر في الثامن عشر من يناير/كانون الثاني إلى أن تطبيق My2022 لا يُمكنه التحقق من صحة شهادات طبقة مآخذ التوصيل الآمنة (SSL) دون ما لا يقل عن خمسة خوادم، وأن الثغرة ستسمح للمخترقين باعتراض الاتصالات المشفرة وسرقة البيانات الشخصية بالاحتيال على التطبيق للاتصال بمضيف خبيث. أي أن الثغرة عطلت خاصية التشفير تمامًا.
كما وجد الباحثون أن التطبيق ينقل بعض البيانات الحساسة إلى مُضيف دون أي حماية أمنية، وعلى ذلك “يُمكن لأي مخترق كامن – مثل شخص متواجد بالقرب من نقطة اتصال واي فاي Wi-Fi غير آمنة – الاطلاع على البيانات.”
كذلك عثر المختبر الكندي المختص بمراقبة حماية الإنترنت على ملف يحمل اسم “illegalwords.txt.” يحتوي على قائمة رقابة بها 2000 كلمة دلالية منها كلمات حساسة مثل سنجان والتُبَّتُ والدالاي لاما وغيرهم، إلا أن خاصية الرقابة لم تُفعل.
كشف مختبر “سيتيزن لاب” عن نتائجه للجنة الأولمبية الدولية IOC في الثالث من ديسمبر/كانون الأول 2021 ومنحهم 15 يومًا لإعطاء ردًا حاسمًا و45 يومًا لحل المشكلة. بعد انقضاء المهلة، نشر المختبر تقريره في الثامن عشر من يناير/كانون الثاني.
أصدرت Internet 2.0 في نفس اليوم مستندًا يُوضح كيفية تأثير تشريعات الأمن القومي الصينية على سلوك الشركات في مساعدة نظام المراقبة للدولة من خلال تصميم تطبيقات هواتفهم المحمولة. وحذرت شركة الأمن السيبراني من أن “كافة الرياضيين والقادمين لحضور أولمبياد بكين الشتوية سيخضعون لهذه القوانين ويتبعون ثقافة المراقبة تلك.”
واصلت الشركة تقديم النصح للرياضيين الأولمبيين وللقادمين لحضور أولمبياد بكين الشتوية باستخدام هواتف جديدة ببريد إلكتروني مؤقت أثناء تواجدهم في الصين، وحذرتهم من مواصلة استخدام “هذا” الهاتف بعد مغادرة البلاد لمنع شركات الهواتف المحمولة الصينية وتطبيقاتهم من جمع البيانات السرية الموجودة على السحابة.”
في حين أن اللجنة الأولمبية الدولية (IOC) نفت وجود أي مخاوف أمنية، إلا أن اللجنة الأولمبية الأمريكية طالبت بعثتها [4] باستخدام هواتف مؤقتة أثناء تواجدهم في بكين، فعليهم “افتراض خضوع كافة الأجهزة والاتصالات والمعاملات وأي نشاط على الإنترنت للمراقبة” في الصين.
انتقدت [5] مجموعة الرياضيين الألمان – Athleten Deutschland – اللجنة الأولمبية الدولية IOC مُصرحة بأن “مُطالبة اللجنة الأولمبية الدولية الرياضيين بتنزيل مثل هذا التطبيق المليء بالثغرات الأمنية الجسمية لهو تصرف مستهتر غير مُبرر.”
ردًا على المخاوف الأمنية الدولية، نقلت [6] شبكة تلفزيون الصين الدولية (CGTN) الممولة من الدولة عن المحلل التقني (آندي موك) الرافض لتقرير المختبر ووصفه بأنه “هجوم مُنظم جيدًا لتشويه الصورة العامة لدورة الألعاب الأولمبية القادمة.” ليُجيب (أوليفر لينو) – اختصاصيّ حرية الإنترنت بإذاعة صوت ألمانيا (DW) – على هذا الادعاء:
I'm interested in facts and evidence. @citizenlab [7] provides a detailed report, all is transparent. The BOC was informed about security vulnerabilities on 3 December. The IOC claims the #my2022 [8] app has been reviewed by two independent security organisations. Details? #Beijing2022 [9] pic.twitter.com/qhnVXLn4Zp [10]
— Oliver Linow (@OliverLinow) January 19, 2022 [11]
تهمني الوقائع والأدلة. قدم مختبر “سيتيزن لاب [7]” تقريرًا مُفصلًا واضحًا بكل ما جاء فيه. أُبلغت BOC بالثغرات الأمنية في الثالث من ديسمبر/كانون الأول، وتدعي اللجنة الأولمبية الدولية (IOC) بأن منظمتين أمنيتين راجعتا تطبيق #my2022 [12] … أين التفاصيل؟! #Beijing2022 [13]
