ثغرات في تطبيق أولمبياد بكين تعرض اللاعبين للخطر

ثغرات في تطبيق أولمبياد بكين تعرض اللاعبين للخطر

سيُطلب من أي شخص يسافر للصين لحضور الألعاب الأولمبية الشتوية لعام 2022 استخدام تطبيق بسبب إجراءات كورونا. بيد أن تقريرا أمنيا حصلت عليه دوتش فيليه أشار إلى أن تطبيق" My 2022" أو "ماي 2022" يحتوى على ثغرات تشكل خطرا على مستخدمه.

يستعد الرياضيون من جميع أنحاء العالم إلى شد حقائب السفر وقصد الصين للمشاركة دورة الألعاب الأولمبية الشتوية في بكين بما يشمل ذلك ضمان التماشي مع التدابير الصحية في الصين خاصة ضرورة استخدام تطبيق  » My 2022″ أو « ماي 2022 » للهواتف الذكية.

ومع ذلك، فقد أشار تقرير حول الأمن السيبراني صادر من مختبر « سيتزن لاب » الكندي لمراقبة الإنترنت إلى أن عناصرحماية وتشفير في التطبيق غير كافية ما يشكل خطرا على الرياضيين والصحفيين ومسؤولي الوفود المشاركة إذ قد يعرضهم للقرصنة وانتهاكات الخصوصية أو حتى مراقبتهم.

كما وجد الخبراء أن التطبيق يتضمن قائمة كلمات رئيسية قد تستخدم في مجال الرقابة الرقمية.

نتائج الدراسة تزامنت مع تصاعد القلق الدولي حيال السلامة الرقمية للرياضيين والمسؤولين خلال حضور دورة الألعاب. فقد حثت دول مثل ألمانيا وأستراليا والمملكة المتحدة والولايات المتحدة الرياضيين وأعضاء الوفود بعدم اصطحاب الهواتف الذكية وأجهزة الكمبيوتر المحمولة خلال سفرهم إلى الصين والاكتفاء بالسفر بأجهزة بسيطة لتجنب تعرضهم للقرصنة والتجسس.

وقد دفع هذا القلق اللجنة الأولمبية الهولندية إلى حظر إحضار الرياضيين هواتفهم الشخصية وأجهزة الكمبيوتر المحمولة وسط مخاوف أمنية.

تطبيق « ماي 2022″يتتبع جهات الاتصال وأكثر!

يشار إلى دورة الألعاب الشتوية التي تنطلق في الرابع من فبراير في بكين تعد ثاني دورة ألعاب أولمبية تجرى في ظل وباء كورونا بعد أولمبياد طوكيو 2020 حيث كان ضروريا تتبع الوضع الصحي للرياضيين خلال تواجدهم في اليابان.

ووفقا للتوجيهات الرسمية التي صدرت عن اللجنة الأولمبية الدولي، فإنه يُطلب من الرياضيين والمدربين والمراسلين والمسؤولين الرياضيين والآلاف من الموظفين المحليين تحميل بياناتهم إما على تطبيق « ماي 2022″الخاص بالهواتف الذكية أو على شبكة الإنترنت.

يرمي التطبيق الذي تم تطويره من قبل الصين، إلى مراقبة الوضع الصحي لجميع المشاركين في هذا الحدث الرياضي من أجل تتبع أي إصابات محتملة بفيروس كورونا؛ حيث يتعين عليهم إدخال كافة المعلومات الشخصية مثل بيانات جواز السفر ومعلومات السفر على التطبيق.

ولا يتوقف الأمر عند هذا الحد إذ تشمل البيانات التي يتعين عليهم إدخالها، معلومات صحية غاية في الحساسية تتعلق بأي أعراض محتملة للإصابة بفيروس كورونا مثل الحمى أو التعب أو الإرهاق أو الصداع أو السعال الجاف أو الإسهال أو التهاب الحلق.

يشار إلى أنه يتعين على القادمين إلى الصين من الخارج البدء في إدخال بياناتهم الصحية على التطبيق قبل 14 يوما من وصولهم إلى البلاد.

الجدير بالذكر أن العديد من دول العالم تستخدم تطبيقات خاصة بتتبع الحالة الصحية للمساعدة في وقف تفشي فيروس كورونا تعرف بـ « تطبيقات تتبع جهات الاتصال »، بيد أن تطبيق « ماي 2022 » يجمع بين خصائص تتبع جهات الاتصال وخدمات أخرى.

وتشمل هذه الخدمات تنظيم الدخول إلى الأماكن، ليس هذا فحسب بل يعمل كدليل للزائر إذ يزوده بمعلومات عن الأماكن الرياضية والخدمات السياحية. كما يضم مزايا إجراء محادثات سواء نصية أو صوتية والاطلاع على آخر الأخبار فضلا عن إمكانية نقل ومشاركة الملفات.

وتشير المعلومات المتوفرة عن التطبيق على « متجر آبل » إلى أن التطبيق يوفر « خدمة مخصصة لمجموعات مختلفة من المستخدمين كي يتمكنوا من الاستمتاع بكافة أجواء دورة الألعاب عن طريق استخدام تطبيق واحد. »

نقل غير أمن للبيانات

وقام مختبر « سيتزن لاب » الكندي لمراقبة الإنترنتوالذي انخرط في الكشف عن برنامج « بيغاسوس » للتجسس على الهواتف، بفحص التطبيق ووجد أنه يعرض المستخدمين لما يُعرف بـ « السرقة الإلكترونية. »

وأظهر التدقيق أنه لم يتم التحقق من صحة تقنية بروتوكول « طبقة المقابس الآمنة » – التي تعرف اختصارا بـ « إس إس إل »SSL التي من المفترض أن تضمن تبادل وانتقال البيانات عبر أجهزة وخوادم جديرة بالثقة.

ويعني هذا الأمر أن التطبيق يحتوي على ثغرة أمنية خطيرة في بروتوكول تشفير البيانات المتبادلة على شبكة الإنترنت ما يشكل خطرا على المستخدم يتمثل في إمكانية خداع التطبيق للاتصال بمضيف ضار ما يمهد الطريق أمام اعتراض المعلومات أو حتى إرسال البيانات الضارة مرة أخرى إلى التطبيق.

وفي ذلك، قال جيفري نوكيل – الباحث فيمختبر « سيتزن لاب » الكندي- إنه « رصد ثغرة أمنية لا تتعلق فقط بالبيانات المتعلق بالوضع الصحي وإنما أيضا بالخدمات الهامة الأخرى التي يوفرها التطبيق مثل معالجة جميع مرفقات الملفات بالإضافة ملفات نقل الصوت. »

وأضاف أن بعض الخدمات التي يوفرها التطبيق لا يتم تشفير نقل البيانات من خلالها بشكل سليم أو لا يتم الأمر من أساسه ما يعني إمكانية وصول المتسللين إلى هذه البيانات.

وقال نوكيل في بيان « تكشف النتائج التي توصلنا إليها عن أن التدابير الأمنية الخاصة بتطبيق « ماي 2022″ غير كافية بشكل تام لمنع خطر وصول أطراف أخرى غير مصرح لها إلى بيانات المستخدمين الحساسة ».

الإيغور!

واكتشف الباحثون في مختبر « سيتزن لاب » الكنديأن التطبيق يتضمن ملفا نصيا يحمل اسم « illegalwords.txt. » حيث يحتوي على2442 كلمة افتتاحية وعبارة.

كما لوحظ أن الملف مكتوب بشكل أساسي باللغة الصينية المبسطة المستخدمة في الصين الشعبية إلا أن نسبة قليلة من الكلمات مكتوبة بلغات الإيغور والتبت والصينية التقليدية (المستخدمة في جزيرتي هونغ كونغ وتايوان) وأيضا كلمات مكتوبة باللغة الإنجليزية.

كذلك يتضمن الملف بعض الكلمات ذات ألفاظ نابيةوأيضا تعبيرات تشير إلى كلمات محظورة في الصين لأسباب سياسية بما ذلك انتقاد حزب الشيوعي الصيني وقادته وكذلك الكلمات التي تشير إلى حركة « فالون غونغ » الروحية المحظورة في الصين واحتجاجات ساحة تيانانمين الشهيرة عام 1989 ودالاي لاما – الزعيم الروحي لمنطقة التبت الصينية – وأقلية الإيغور المسلمة في منطقة شينجيانغ الصينية.

وقال مختبر « سيتزن لاب » إن أحد الأمثلة البارزة عبارة تشير إلى القرآن بلغة الإيغور.

إحراج غوغل وآبل!

وأثارت نتائج مختبر « سيتزن لاب » تساؤلات بشأن الإجراءات التي اتخذتها شركتا « غوغل » و « آبل  » حيث يمكن تنزيل تطبيق « ماي 2022 » واستخدامه.

وفي مقابلة مع دوتش فيليه، قال نوكيل « تحظر سياسات كل من غوغل وآبل التطبيقات التي يتم من خلالها نقل البيانات الحساسة من غير تشفير مناسب، لذا سيتعين على الشركتين تحديد ما إذا كانت الثغرات التي يحتوي عليها التطبيق تستدعي حذفه ».

من جانبها، ألقت اللجنة المنظمة لدورة الألعاب الأولمبية الشتوية بثقلها وراء التطبيق إذ شددت على أنه قد اجتاز « مراحل التدقيق والفحص » من غوغل وآبل وسامسونغ.

ونقلت وكالة الأنباء الصينية الرسمية (شينخوا) عن اللجنة قولها « اتخذنا إجراءات لضمان تشفير المعلومات الشخصية في التطبيق لضمان أمن الخصوصية » وبيانات المستخدمين.

أوليفر لينو و إنغو مانتوفيل