My2022: Pflicht-App für Olympia 2022 aus China leckt Daten

Im Vorfeld der in der kommenden Woche beginnenden olympischen Winterspiele in Beijing hat sich Citizen Lab die App MY2022 angesehen. Wer an den Spielen teilnimmt - ob als Sportlerin, Journalist oder Zuschauer - muss diese App nutzen. Sie dient der Corona-Kontaktverfolgung, bietet darüber hinaus allerdings noch einen Messenger, eine Übersetzungs-KI und standortbasierte touristische Empfehlungen.

Die Teilnehmer müssen verpflichtend sensible Daten eintragen. Informationen zum Gesundheitszustand sind täglich anzugeben, wer nicht aus China stammt, muss zudem noch Passdaten nennen. Die Daten werden an verschiedene Institutionen wie das Olympiaorganisationskomitee übertragen. Das geht auch nach Aussage von Citizen Lab aus der Datenschutzerklärung der App hervor.

Datenschutz okay, Technik mangelhaft

Obwohl sie grundsätzlich in Ordnung ist, erfährt die Datenschutzerklärung jedoch auch Kritik. So sind zwar Fälle aufgeführt, in denen Nutzerdaten ohne Einwilligung weitergegeben werden, beispielsweise an Behörden. Wer sie bekommt und auf wessen Anordnung, ist dort jedoch nicht erwähnt.

Gravierender sind jedoch die technischen Mängel, die Citizen Lab fand und dem Betreiber der App meldete. Behoben wurden sie jedoch auch in der zuletzt untersuchten Version 2.0.5 für iOS nicht. Die meisten Daten werden zwar verschlüsselt übertragen, jedoch wird das verwendete Zertifikat nicht geprüft. Dies ermöglicht Man-in-the-Middle-Angriffe, bei denen sich ein böswilliger Akteur als der eigentlich angesprochene Server ausgibt. So können Daten abgegriffen oder den Nutzern manipulierte Daten angezeigt werden. Betroffen sind hier unter anderem die besonders sensiblen Pass- und Gesundheitsdaten.

Einige Metadaten des integrierten Messengers werden sogar unverschlüsselt übertragen. In einem öffentlichen, unverschlüsselten WLAN kann sie so jeder abgreifen. Jeder Router, den sie passieren, sieht sie ebenfalls, also der Funknetzbetreiber und der Internetprovider.

Zensur ist inaktiv

Auch die in China vorgeschriebenen Zensurmechanismen fanden sich in der App. So existiert eine Liste verbotener Schlüsselwörter. Diese scheint der Analyse zufolge jedoch ungenutzt zu sein - ob versehentlich oder als Zugeständnis an das IOC bleibt offen.

Allerdings gibt es eine Funktion zum Melden "unangemessener" Inhalte im Messenger. Hier findet sich auch "politisch sensibler Inhalt" als Begründung der Meldung. Dies ist jedoch laut Citizen Labs bei Apps in China üblich.

Schlamperei wahrscheinlicher als Vorsatz

Citizen Lab kommt zu dem Schluss, dass die Sicherheitslücken wohl nicht der heimlichen Überwachung dienen - speziell weil die chinesische Regierung ohnehin Zugriff auf alle Daten der App hat. Vielmehr seien sie typisch für die chinesische App-Landschaft. Ein Man-in-the-Middle-Angriff wäre zudem schwer verdeckt durchzuführen, da er die Installation des Angreiferzertifikats auf dem Zielgerät erforderte. Auch die Zensurmechanismen entsprächen den Erwartungen.

Allerdings kommt die Analyse zu dem Schluss, dass die App aufgrund der Sicherheitsmängel chinesisches Recht sowie die App-Store-Regeln von Google und Apple verletzen könnte. Auswirkungen wird dies jedoch wohl nicht haben.