My2022: Pflicht-App für Olympia 2022 aus China leckt Daten

Wer an Olympia 2022 in China teilnimmt, muss die App MY2022 nutzen. Die hat allerdings Sicherheitsprobleme.

Artikel veröffentlicht am , Johannes Hiltscher
Die MY2022-App hat ein niedliches Maskottchen und weniger niedliche Sicherheitsprobleme.
Die MY2022-App hat ein niedliches Maskottchen und weniger niedliche Sicherheitsprobleme. (Bild: Citizen Lab/Montage:Johannes Hiltscher)

Im Vorfeld der in der kommenden Woche beginnenden olympischen Winterspiele in Beijing hat sich Citizen Lab die App MY2022 angesehen. Wer an den Spielen teilnimmt - ob als Sportlerin, Journalist oder Zuschauer - muss diese App nutzen. Sie dient der Corona-Kontaktverfolgung, bietet darüber hinaus allerdings noch einen Messenger, eine Übersetzungs-KI und standortbasierte touristische Empfehlungen.

Stellenmarkt
  1. IT-Service-Management - interne Prozesse & IT-Ausstattung (w/m/d)
    Dataport, verschiedene Standorte
  2. Qualifizierter Sachbearbeiter (m/w/d) Digitalisierung / Datenbanken
    Bundesarbeitsgemeinschaft für Rehabilitation e.V., Frankfurt am Main
Detailsuche

Die Teilnehmer müssen verpflichtend sensible Daten eintragen. Informationen zum Gesundheitszustand sind täglich anzugeben, wer nicht aus China stammt, muss zudem noch Passdaten nennen. Die Daten werden an verschiedene Institutionen wie das Olympiaorganisationskomitee übertragen. Das geht auch nach Aussage von Citizen Lab aus der Datenschutzerklärung der App hervor.

Datenschutz okay, Technik mangelhaft

Obwohl sie grundsätzlich in Ordnung ist, erfährt die Datenschutzerklärung jedoch auch Kritik. So sind zwar Fälle aufgeführt, in denen Nutzerdaten ohne Einwilligung weitergegeben werden, beispielsweise an Behörden. Wer sie bekommt und auf wessen Anordnung, ist dort jedoch nicht erwähnt.

Gravierender sind jedoch die technischen Mängel, die Citizen Lab fand und dem Betreiber der App meldete. Behoben wurden sie jedoch auch in der zuletzt untersuchten Version 2.0.5 für iOS nicht. Die meisten Daten werden zwar verschlüsselt übertragen, jedoch wird das verwendete Zertifikat nicht geprüft. Dies ermöglicht Man-in-the-Middle-Angriffe, bei denen sich ein böswilliger Akteur als der eigentlich angesprochene Server ausgibt. So können Daten abgegriffen oder den Nutzern manipulierte Daten angezeigt werden. Betroffen sind hier unter anderem die besonders sensiblen Pass- und Gesundheitsdaten.

Golem Akademie
  1. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    19./20.05.2022, virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    27./28.06.2022, virtuell
Weitere IT-Trainings

Einige Metadaten des integrierten Messengers werden sogar unverschlüsselt übertragen. In einem öffentlichen, unverschlüsselten WLAN kann sie so jeder abgreifen. Jeder Router, den sie passieren, sieht sie ebenfalls, also der Funknetzbetreiber und der Internetprovider.

Zensur ist inaktiv

Auch die in China vorgeschriebenen Zensurmechanismen fanden sich in der App. So existiert eine Liste verbotener Schlüsselwörter. Diese scheint der Analyse zufolge jedoch ungenutzt zu sein - ob versehentlich oder als Zugeständnis an das IOC bleibt offen.

Allerdings gibt es eine Funktion zum Melden "unangemessener" Inhalte im Messenger. Hier findet sich auch "politisch sensibler Inhalt" als Begründung der Meldung. Dies ist jedoch laut Citizen Labs bei Apps in China üblich.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Schlamperei wahrscheinlicher als Vorsatz

Citizen Lab kommt zu dem Schluss, dass die Sicherheitslücken wohl nicht der heimlichen Überwachung dienen - speziell weil die chinesische Regierung ohnehin Zugriff auf alle Daten der App hat. Vielmehr seien sie typisch für die chinesische App-Landschaft. Ein Man-in-the-Middle-Angriff wäre zudem schwer verdeckt durchzuführen, da er die Installation des Angreiferzertifikats auf dem Zielgerät erforderte. Auch die Zensurmechanismen entsprächen den Erwartungen.

Allerdings kommt die Analyse zu dem Schluss, dass die App aufgrund der Sicherheitsmängel chinesisches Recht sowie die App-Store-Regeln von Google und Apple verletzen könnte. Auswirkungen wird dies jedoch wohl nicht haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Geleaktes One Outlook ausprobiert
Wie Outlook Web, nur besser

Endlich wird das schreckliche Mail-Programm in Windows 10 und 11 ersetzt. One Outlook ist zudem mehr, als nur Outlook im Browser.
Ein Hands-on von Oliver Nickel

Geleaktes One Outlook ausprobiert: Wie Outlook Web, nur besser
Artikel
  1. Forschung: Blaualge versorgt Mikrocontroller sechs Monate mit Strom
    Forschung
    Blaualge versorgt Mikrocontroller sechs Monate mit Strom

    Ein Forschungsteam hat einen Arm Cortex-M0+ sechs Monate ununterbrochen mit Strom versorgt. Die Algen lieferten sogar bei Dunkelheit Strom.

  2. Was man aus realen Cyberattacken lernen kann
     
    Was man aus realen Cyberattacken lernen kann

    "Hätte ich das mal vorher gewusst!" Die Threat Hunter von Sophos haben ihre Erfahrungen im täglichen Kampf gegen Cyberkriminelle in einem Kompendium zusammengefasst. Jedes Kapitel enthält praxisorientierte IT-Sicherheitsempfehlungen für Unternehmen.
    Sponsored Post von Sophos

  3. Betriebssysteme: Apple veröffentlicht iOS 15.5 und MacOS 12.4
    Betriebssysteme
    Apple veröffentlicht iOS 15.5 und MacOS 12.4

    Apple hat seine Betriebssysteme iOS 15.5 für die iPads, MacOS 12.4 für die Macs und iPadOS 15.5 für die iPads veröffentlicht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /