My2022: Pflicht-App für Olympia 2022 aus China leckt Daten

Wer an Olympia 2022 in China teilnimmt, muss die App MY2022 nutzen. Die hat allerdings Sicherheitsprobleme.

Artikel veröffentlicht am , Johannes Hiltscher
Die MY2022-App hat ein niedliches Maskottchen und weniger niedliche Sicherheitsprobleme.
Die MY2022-App hat ein niedliches Maskottchen und weniger niedliche Sicherheitsprobleme. (Bild: Citizen Lab/Montage:Johannes Hiltscher)

Im Vorfeld der in der kommenden Woche beginnenden olympischen Winterspiele in Beijing hat sich Citizen Lab die App MY2022 angesehen. Wer an den Spielen teilnimmt - ob als Sportlerin, Journalist oder Zuschauer - muss diese App nutzen. Sie dient der Corona-Kontaktverfolgung, bietet darüber hinaus allerdings noch einen Messenger, eine Übersetzungs-KI und standortbasierte touristische Empfehlungen.

Stellenmarkt
  1. Integration Manager (w/m/d)
    SSI Schäfer Automation GmbH, Giebelstadt bei Würzburg
  2. Project Demand Manager - Grid Field Operations Offshore (all genders)
    TenneT TSO GmbH, Lehrte, Arnheim (Niederlande)
Detailsuche

Die Teilnehmer müssen verpflichtend sensible Daten eintragen. Informationen zum Gesundheitszustand sind täglich anzugeben, wer nicht aus China stammt, muss zudem noch Passdaten nennen. Die Daten werden an verschiedene Institutionen wie das Olympiaorganisationskomitee übertragen. Das geht auch nach Aussage von Citizen Lab aus der Datenschutzerklärung der App hervor.

Datenschutz okay, Technik mangelhaft

Obwohl sie grundsätzlich in Ordnung ist, erfährt die Datenschutzerklärung jedoch auch Kritik. So sind zwar Fälle aufgeführt, in denen Nutzerdaten ohne Einwilligung weitergegeben werden, beispielsweise an Behörden. Wer sie bekommt und auf wessen Anordnung, ist dort jedoch nicht erwähnt.

Gravierender sind jedoch die technischen Mängel, die Citizen Lab fand und dem Betreiber der App meldete. Behoben wurden sie jedoch auch in der zuletzt untersuchten Version 2.0.5 für iOS nicht. Die meisten Daten werden zwar verschlüsselt übertragen, jedoch wird das verwendete Zertifikat nicht geprüft. Dies ermöglicht Man-in-the-Middle-Angriffe, bei denen sich ein böswilliger Akteur als der eigentlich angesprochene Server ausgibt. So können Daten abgegriffen oder den Nutzern manipulierte Daten angezeigt werden. Betroffen sind hier unter anderem die besonders sensiblen Pass- und Gesundheitsdaten.

Golem Akademie
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    30.05.-03.06.2022, Virtuell
  2. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    19./20.07.2022, Virtuell
Weitere IT-Trainings

Einige Metadaten des integrierten Messengers werden sogar unverschlüsselt übertragen. In einem öffentlichen, unverschlüsselten WLAN kann sie so jeder abgreifen. Jeder Router, den sie passieren, sieht sie ebenfalls, also der Funknetzbetreiber und der Internetprovider.

Zensur ist inaktiv

Auch die in China vorgeschriebenen Zensurmechanismen fanden sich in der App. So existiert eine Liste verbotener Schlüsselwörter. Diese scheint der Analyse zufolge jedoch ungenutzt zu sein - ob versehentlich oder als Zugeständnis an das IOC bleibt offen.

Allerdings gibt es eine Funktion zum Melden "unangemessener" Inhalte im Messenger. Hier findet sich auch "politisch sensibler Inhalt" als Begründung der Meldung. Dies ist jedoch laut Citizen Labs bei Apps in China üblich.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Schlamperei wahrscheinlicher als Vorsatz

Citizen Lab kommt zu dem Schluss, dass die Sicherheitslücken wohl nicht der heimlichen Überwachung dienen - speziell weil die chinesische Regierung ohnehin Zugriff auf alle Daten der App hat. Vielmehr seien sie typisch für die chinesische App-Landschaft. Ein Man-in-the-Middle-Angriff wäre zudem schwer verdeckt durchzuführen, da er die Installation des Angreiferzertifikats auf dem Zielgerät erforderte. Auch die Zensurmechanismen entsprächen den Erwartungen.

Allerdings kommt die Analyse zu dem Schluss, dass die App aufgrund der Sicherheitsmängel chinesisches Recht sowie die App-Store-Regeln von Google und Apple verletzen könnte. Auswirkungen wird dies jedoch wohl nicht haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Sicherheitslücke
Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist

Forschern ist es gelungen, eine Schadsoftware auf ausgeschalteten iPhones mit vermeintlich leerem Akku auszuführen. Denn ganz aus sind diese nicht.

Sicherheitslücke: Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist
Artikel
  1. Bundeswehr: Das Heer will sich nicht abhören lassen
    Bundeswehr
    Das Heer will sich nicht abhören lassen

    Um sicher zu kommunizieren, halten die Landstreitkräfte in NATO-Missionen angeblich ihre Panzer an und verabreden sich "von Turm zu Turm".
    Ein Bericht von Matthias Monroy

  2. Geräuschbelästigung: Sogar Elektroautos können laut Gerichtsurteil zu laut sein
    Geräuschbelästigung
    Sogar Elektroautos können laut Gerichtsurteil zu laut sein

    Leise fahrende Elektroautos können trotzdem ein Ärgernis sein - wenn die Benutzer die Türen zuschlagen. Deshalb verbot ein Gericht Hofparkplätze.

  3. Milliarden-Übernahme: Musk spricht von günstigerem Übernahmeangebot für Twitter
    Milliarden-Übernahme  
    Musk spricht von günstigerem Übernahmeangebot für Twitter

    Mit Blick auf die Zählung von Spam-Konten bei Twitter hat Elon Musk gefragt, ob die mehr als 200 Millionen Twitter-Nutzer angerufen worden seien.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /