تقرير: تطبيق الصين بشأن الأولمبياد يحتوى على ثغرات تشكل خطرا على مستخدمه
- التطبيق يتضمن قائمة كلمات رئيسية قد تستخدم في مجال الرقابة الرقمية
- لدى الصين تاريخ في إضعاف تكنولوجيا التشفير للرقابة السياسية والمراقبة
أفاد تقرير حول الأمن السيبراني صادر من مختبر “سيتزن لاب” (Citizen Lab) الكندي لمراقبة الإنترنت، أن التطبيق الذي فرض الحزب الشيوعي الصيني تنزيله على كل من يريد أن يحضر الألعاب الأولمبية الشتوية لعام 2022، يحتوي على عناصر حماية وتشفير غير كافية، ما يشكل خطرا على الرياضيين والصحفيين ومسؤولي الوفود المشاركة حيث قد تتم قرصنتهم أو انتهاك خصوصيتهم.
وأشار التقرير إلى أن تطبيق” My 2022″ يحتوى على ثغرات تشكل خطرا على مستخدمه.
ويتضمن التطبيق قائمة كلمات رئيسية قد تستخدم في مجال الرقابة الرقمية، وفق التقرير.
وأخطر (Citizen Lab) اللجنة المنظمة الصينية للأولمبياد بالمشكلة في أوائل ديسمبر ، ومنحهم 15 يومًا للرد و 45 يومًا لحل المشكلة ، لكن لم يتم تلقي أي رد حتى الآن.
وبهذا الشأن، قال جيفري نوكيل – الباحث في مختبر “سيتزن لاب” الكندي: “لدى الصين تاريخ في إضعاف تكنولوجيا التشفير للرقابة السياسية والمراقبة”.
وأضاف: “لذلك، من العدل التساؤل عما إذا كان قد تم اختراق التشفير في هذا التطبيق عمدًا لأغراض المراقبة أو ما إذا كان الخطأ قد نشأ عن إهمال المطور”.
تحذيرات من أصطحاب الهواتف الذكية خلال السفر إلى الصين
وتتزامن هذه التطورات مع تحذيرات السلطات في ألمانيا وأستراليا والمملكة المتحدة والولايات المتحدة الرياضيين وأعضاء الوفود بعدم اصطحاب الهواتف الذكية وأجهزة الكمبيوتر المحمولة خلال سفرهم إلى الصين والاكتفاء بالسفر بأجهزة بسيطة لتجنب تعرضهم للقرصنة والتجسس.
وتشير التوجيهات الرسمية التي صدرت عن اللجنة الأولمبية الدولي، أنه سيُطلب من الرياضيين والمدربين والمراسلين والمسؤولين الرياضيين والآلاف من الموظفين المحليين تحميل بياناتهم إما على تطبيق ” My 2022″ الخاص بالهواتف الذكية أو على شبكة الإنترنت.
يرمي التطبيق الذي تم تطويره من قبل الصين، إلى مراقبة الوضع الصحي لجميع المشاركين في هذا الحدث الرياضي من أجل تتبع أي إصابات محتملة بفيروس كورونا؛ حيث يتعين عليهم إدخال كافة المعلومات الشخصية مثل بيانات جواز السفر ومعلومات السفر على التطبيق.
ولا يتوقف الأمر عند هذا الحد إذ تشمل البيانات التي يتعين عليهم إدخالها، معلومات صحية غاية في الحساسية تتعلق بأي أعراض محتملة للإصابة بفيروس كورونا مثل الحمى أو التعب أو الإرهاق أو الصداع أو السعال الجاف أو الإسهال أو التهاب الحلق.
يشار إلى أنه يتعين على القادمين إلى الصين من الخارج البدء في إدخال بياناتهم الصحية على التطبيق قبل 14 يوما من وصولهم إلى البلاد.
تغرة أمنية
وتشير المعلومات المتوفرة عن التطبيق على “متجر آبل” إلى أن التطبيق يوفر “خدمة مخصصة لمجموعات مختلفة من المستخدمين كي يتمكنوا من الاستمتاع بكافة أجواء دورة الألعاب عن طريق استخدام تطبيق واحد.”
وقام مختبر “سيتزن لاب” الكندي لمراقبة الإنترنت والذي انخرط في الكشف عن برنامج “بيغاسوس” للتجسس على الهواتف، بفحص التطبيق ووجد أنه يعرض المستخدمين لما يُعرف بـ “السرقة الإلكترونية.”
وأظهر التدقيق أنه لم يتم التحقق من صحة تقنية بروتوكول “طبقة المقابس الآمنة” – التي تعرف اختصارا بـ “إس إس إل”SSL التي من المفترض أن تضمن تبادل وانتقال البيانات عبر أجهزة وخوادم جديرة بالثقة.
ويعني هذا الأمر أن التطبيق يحتوي على ثغرة أمنية خطيرة في بروتوكول تشفير البيانات المتبادلة على شبكة الإنترنت ما يشكل خطرا على المستخدم يتمثل في إمكانية خداع التطبيق للاتصال بمضيف ضار ما يمهد الطريق أمام اعتراض المعلومات أو حتى إرسال البيانات الضارة مرة أخرى إلى التطبيق.
وقال نوكيل إنه “رصد ثغرة أمنية لا تتعلق فقط بالبيانات المتعلق بالوضع الصحي وإنما أيضا بالخدمات الهامة الأخرى التي يوفرها التطبيق مثل معالجة جميع مرفقات الملفات بالإضافة ملفات نقل الصوت.”
وأضاف أن بعض الخدمات التي يوفرها التطبيق لا يتم تشفير نقل البيانات من خلالها بشكل سليم أو لا يتم الأمر من أساسه ما يعني إمكانية وصول المتسللين إلى هذه البيانات.
وقال نوكيل في بيان “تكشف النتائج التي توصلنا إليها عن أن التدابير الأمنية الخاصة بتطبيق “ماي 2022″ غير كافية بشكل تام لمنع خطر وصول أطراف أخرى غير مصرح لها إلى بيانات المستخدمين الحساسة”.
كلمات مكتوبة بلغات الإيغور
واكتشف الباحثون في مختبر “سيتزن لاب” الكندي أن التطبيق يتضمن ملفا نصيا يحمل اسم “illegalwords.txt.” حيث يحتوي على2442 كلمة افتتاحية وعبارة.
كما لوحظ أن الملف مكتوب بشكل أساسي باللغة الصينية المبسطة المستخدمة في الصين الشعبية إلا أن نسبة قليلة من الكلمات مكتوبة بلغات الإيغور والتبت والصينية التقليدية (المستخدمة في جزيرتي هونغ كونغ وتايوان) وأيضا كلمات مكتوبة باللغة الإنجليزية.
كذلك يتضمن الملف بعض الكلمات ذات ألفاظ نابية وأيضا تعبيرات تشير إلى كلمات محظورة في الصين لأسباب سياسية بما ذلك انتقاد حزب الشيوعي الصيني وقادته وكذلك الكلمات التي تشير إلى حركة “فالون غونغ” الروحية المحظورة في الصين واحتجاجات ساحة تيانانمين الشهيرة عام 1989 ودالاي لاما – الزعيم الروحي لمنطقة التبت الصينية – وأقلية الإيغور المسلمة في منطقة شينجيانغ الصينية.
وقال مختبر “سيتزن لاب” إن أحد الأمثلة البارزة عبارة تشير إلى القرآن بلغة الإيغور.
كيف ستتعامل غوغل وآبل؟
وأثارت نتائج مختبر “سيتزن لاب” تساؤلات بشأن الإجراءات التي اتخذتها شركتا “غوغل” و “آبل ” حيث يمكن تنزيل تطبيق ” My 2022″ واستخدامه.
من جانبها، ألقت اللجنة المنظمة لدورة الألعاب الأولمبية الشتوية بثقلها وراء التطبيق إذ شددت على أنه قد اجتاز “مراحل التدقيق والفحص” من غوغل وآبل وسامسونغ.
ونقلت وكالة الأنباء الصينية الرسمية (شينخوا) عن اللجنة قولها “اتخذنا إجراءات لضمان تشفير المعلومات الشخصية في التطبيق لضمان أمن الخصوصية” وبيانات المستخدمين.