Analyse von MY2022: Privatsphäre in Olympia-App schlecht geschützt

Besucher und Teilnehmer der Olympischen Spielen in Peking müssen die App MY2022 installieren und nutzen. Die hat offenbar mehrere Schwachstellen.

In Pocket speichern vorlesen Druckansicht 14 Kommentare lesen
Aufmacherbild MY2022-Olympia-App Sicherheitsalbtraum

(Bild: Karolis Kavolelis / Shutterstock.com)

Lesezeit: 3 Min.
Von
Inhaltsverzeichnis

Bereits vergangene Woche wurde bekannt, dass die deutschen Olympia-Teilnehmer vom Deutschen Olympischen Sportbund (DOSB) gestellte Handys benutzen sollen, um die mandatorische App MY2022 zu nutzen. Sie soll insbesondere zur Prüfung und Überwachung des Covid-19-Gesundheitsstatus dienen und müsse von Zuschauern, Pressevertretern und Athleten installiert werden. Die Sorge gilt dabei vornehmlich der Privatsphäre der Teilnehmer – und ist offenbar berechtigt.

Sicherheitsforscher der Citizen Labs der Universität Toronto haben die App für iOS und Android genauer untersucht und dabei Schwachstellen etwa bei der Verschlüsselung gefunden. Zudem sammle die App diverse sensible Daten wie Gesundheitsinformationen. Die App gehe damit zwar offen um, jedoch bleibe unklar, mit wem diese Daten geteilt würden.

Weiter erlaube die MY2022, "politisch sensible" Inhalte zu melden. Die App enthalte zudem eine Zensurliste mit Wörtern, die auf politisch unerwünschte Themen wie die Unterdrückung der Uiguren in Xinjiang oder auf Tibet deuten; zurzeit sei sie aber nicht aktiv. Auf die Meldungen der Schwachstellen habe der App-Anbieter nicht reagiert, schreiben die Forscher in ihrer Sicherheitsmeldung.

Zum Übertragen der Daten nutzt die App verschlüsselte Verbindungen. Jedoch haben die Sicherheitsforscher herausgefunden, dass die Zertifikatsprüfung fehlerhaft ist und so die Verbindungen zu mindestens fünf Servern anfällig für Man-in-the-Middle-Angriffe sind. Daten könnten dadurch in falsche Hände geraten. Ein Angreifer, der in die Kommunikation eingreifen kann, könnte etwa vorgeben, der Server health.customsapp.com zu sein und so die dahin übertragenen Daten abgreifen.

Teilweise findet sogar gar keine Verschlüsselung statt. So würden Verbindungen zu tmail.beijing2022.cn auf Port 8099 ungeschützt Informationen übertragen. Im Netzwerk lauschende Angreifer könnten so sensible Metadaten wie Empfänger und Sender der Nachrichten, ihre Namen sowie deren Konto-IDs mitschneiden – etwa an gemeinsam genutzten WLAN-Hotspots.

Die Citizen Labs weisen in der Analyse darauf hin, dass China eine längere Geschichte vorzuweisen habe, was das Unterlaufen von Verschlüsselung für politische Überwachung und Zensur anbelange. Lokale chinesische Behörden würden routinemäßig Technik zum Abfangen von Daten wie das Schnüffeln in WLAN-Netzen einsetzen. Daher sei die Frage legitim, ob die Verschlüsselung absichtlich sabotiert wurde oder ob die Fehler auf Nachlässigkeit der Entwickler beruhten.

Die Sicherheitsforscher spekulieren, dass die App gegen chinesisches Datenschutzrecht sowie das Gesetz zum Schutz personenbezogener Daten verstoßen könnte. Zudem missachte MY2022 möglicherweise Googles Unerwünschte-Software-Richtlinie und Apples App-Store-Richtlinien.

Die Analyse-Ergebnisse geben den Sorgen der nationalen Sportverbände recht. MY2022 schützt die Privatsphäre der Nutzer nicht korrekt. Daher sollten diejenigen, die die App verpflichtend nutzen müssen, Angebote wie jenes des Deutschen Olympischen Sportbunds annehmen und für die App die bereitgestellten Smartphones verwenden.

(dmk)