My 2022: Experte erhebt Spionagevorwürfe gegen Chinas Olympia-App

Ein Sicherheitsforscher erhebt schwere Vorwürfe gegen My2022, die offizielle App für alle Teilnehmer der Winterspiele in Beijing: Die App soll Nutzer abhören.

In Pocket speichern vorlesen Druckansicht 119 Kommentare lesen
Aufmacherbild MY2022 unbelegte Spionagevorwürfe

(Bild: Karolis Kavolelis / Shutterstock.com)

Lesezeit: 3 Min.
Von

Ein US-Sicherheitsforscher hat die für Teilnehmer der Olympischen Winterspiele in Beijing verpflichtende App dekompiliert und erhebt nun schwere Vorwürfe gegen China. Demnach soll die App Tonmitschnitte anfertigen: "Ich kann definitiv sagen, dass sämtliche Audioaufnahmen der Olympioniken gesammelt, analysiert und auf chinesischen Servern gespeichert werden", erklärt der Sicherheitsforscher Jonathan Scott auf Twitter. Andere Experten sind skeptisch.

Scott verweist auf Hinweise im Code, dass die chinesischen Entwickler der App auch Komponenten anderer Hersteller eingebunden haben, darunter Module der chinesischen Firma iFlytek, die auch Audio verarbeiten können. Er schließt daraus, dass die App alle eingeloggten Nutzer permanent abhört und die Daten an chinesische Server schickt. Den dekompilierten Code und die Assets der App für Android und iOS hat Scott auf Github veröffentlicht.

Belege, dass die App permanent Mitschnitte anfertigt und diese weiterreicht – etwa anhand von Netzwerkverkehr – bleibt Scott bisher schuldig. Um das nachzuvollziehen, müsste man eingeloggt sein – und einen Zugang zur App erhalten nur akkreditierte Teilnehmer der Spiele. Darauf wiesen in einem Twitter-Space mit Scott am Freitag auch einige andere IT-Sicherheitsexperten hin.

Dass sich im Code auch Komponenten Dritter finden, ist üblich – genau dafür sind Software Development Kits (SDK) da. In der Regel wird in der erstellten ausführbaren Datei nicht groß aufgeräumt und optimiert. So landen dabei auch Komponenten darin, die das SDK anbietet, ohne, dass die App diese weiteren Funktionen auch nutzen würde.

Zuvor hatten Sicherheitsforscher der Citizen Labs der Universität Toronto Schwachstellen in der Verschlüsselung bei der Client-Server-Kommunikation der App gefunden. In der App sollen die Olympioniken auch medizinische Daten wie den Impfstatus hinterlegen. Laut Citizen Labs ist unklar, mit wem diese Informationen alles geteilt werden. In Kombination seien die privaten Daten daher unzureichend geschützt.

Sportverbände sehen die App ebenfalls kritisch. Der Deutsche Olympische Sportbund (DOSB) und andere Landesverbände haben den Athletinnen und Athleten empfohlen, My2020 nicht auf ihrem persönlichen Gerät zu installieren. Der DOSB stellt der deutschen Delegation dafür Smartphones zur Verfügung. Das niederländische Nationale Olympische Komitee (NOK) hat Berichten zufolge "saubere" Geräte verteilt, die nach der Rückkehr aus China vernichtet werden sollen.

Vor Kurzem sah sich auch der chinesische Smartphonehersteller Xiaomi mit Vorwürfen konfrontiert, Zensurlisten in seinen Smartphones vorzuhalten. Diese soll das Unternehmen aus der Ferne an- und abschalten können, folgerten IT-Sicherheitsbehörden aus Litauen und Taiwan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fand jedoch keine Hinweise darauf.

(dmk)