My2022: Pflicht-App für Olympia 2022 aus China leckt Daten

Wer an Olympia 2022 in China teilnimmt, muss die App MY2022 nutzen. Die hat allerdings Sicherheitsprobleme.

Artikel veröffentlicht am , Johannes Hiltscher
Die MY2022-App hat ein niedliches Maskottchen und weniger niedliche Sicherheitsprobleme.
Die MY2022-App hat ein niedliches Maskottchen und weniger niedliche Sicherheitsprobleme. (Bild: Citizen Lab/Montage:Johannes Hiltscher)

Im Vorfeld der in der kommenden Woche beginnenden olympischen Winterspiele in Beijing hat sich Citizen Lab die App MY2022 angesehen. Wer an den Spielen teilnimmt - ob als Sportlerin, Journalist oder Zuschauer - muss diese App nutzen. Sie dient der Corona-Kontaktverfolgung, bietet darüber hinaus allerdings noch einen Messenger, eine Übersetzungs-KI und standortbasierte touristische Empfehlungen.

Stellenmarkt
  1. IT Datacenter Specialist (m/w/d)
    DLR Gesellschaft für Raumfahrtanwendungen (GfR) mbH, Oberpfaffenhofen
  2. Teamleiter Business Intelligence (m/w/d)
    J. Bauer GmbH & Co. KG, Wasserburg am Inn
Detailsuche

Die Teilnehmer müssen verpflichtend sensible Daten eintragen. Informationen zum Gesundheitszustand sind täglich anzugeben, wer nicht aus China stammt, muss zudem noch Passdaten nennen. Die Daten werden an verschiedene Institutionen wie das Olympiaorganisationskomitee übertragen. Das geht auch nach Aussage von Citizen Lab aus der Datenschutzerklärung der App hervor.

Datenschutz okay, Technik mangelhaft

Obwohl sie grundsätzlich in Ordnung ist, erfährt die Datenschutzerklärung jedoch auch Kritik. So sind zwar Fälle aufgeführt, in denen Nutzerdaten ohne Einwilligung weitergegeben werden, beispielsweise an Behörden. Wer sie bekommt und auf wessen Anordnung, ist dort jedoch nicht erwähnt.

Gravierender sind jedoch die technischen Mängel, die Citizen Lab fand und dem Betreiber der App meldete. Behoben wurden sie jedoch auch in der zuletzt untersuchten Version 2.0.5 für iOS nicht. Die meisten Daten werden zwar verschlüsselt übertragen, jedoch wird das verwendete Zertifikat nicht geprüft. Dies ermöglicht Man-in-the-Middle-Angriffe, bei denen sich ein böswilliger Akteur als der eigentlich angesprochene Server ausgibt. So können Daten abgegriffen oder den Nutzern manipulierte Daten angezeigt werden. Betroffen sind hier unter anderem die besonders sensiblen Pass- und Gesundheitsdaten.

Golem Karrierewelt
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    07./08.06.2022, Virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    30.05.-03.06.2022, Virtuell
Weitere IT-Trainings

Einige Metadaten des integrierten Messengers werden sogar unverschlüsselt übertragen. In einem öffentlichen, unverschlüsselten WLAN kann sie so jeder abgreifen. Jeder Router, den sie passieren, sieht sie ebenfalls, also der Funknetzbetreiber und der Internetprovider.

Zensur ist inaktiv

Auch die in China vorgeschriebenen Zensurmechanismen fanden sich in der App. So existiert eine Liste verbotener Schlüsselwörter. Diese scheint der Analyse zufolge jedoch ungenutzt zu sein - ob versehentlich oder als Zugeständnis an das IOC bleibt offen.

Allerdings gibt es eine Funktion zum Melden "unangemessener" Inhalte im Messenger. Hier findet sich auch "politisch sensibler Inhalt" als Begründung der Meldung. Dies ist jedoch laut Citizen Labs bei Apps in China üblich.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Schlamperei wahrscheinlicher als Vorsatz

Citizen Lab kommt zu dem Schluss, dass die Sicherheitslücken wohl nicht der heimlichen Überwachung dienen - speziell weil die chinesische Regierung ohnehin Zugriff auf alle Daten der App hat. Vielmehr seien sie typisch für die chinesische App-Landschaft. Ein Man-in-the-Middle-Angriff wäre zudem schwer verdeckt durchzuführen, da er die Installation des Angreiferzertifikats auf dem Zielgerät erforderte. Auch die Zensurmechanismen entsprächen den Erwartungen.

Allerdings kommt die Analyse zu dem Schluss, dass die App aufgrund der Sicherheitsmängel chinesisches Recht sowie die App-Store-Regeln von Google und Apple verletzen könnte. Auswirkungen wird dies jedoch wohl nicht haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
City M 2.0
Strøm baut minimalistisches Pendler-E-Bike

Das Strøm City M 2.0 ist ein E-Bike, das wegen seiner schlichten Linienführung auffällt und über Indiegogo für 1.095 Euro angeboten wird.

City M 2.0: Strøm baut minimalistisches Pendler-E-Bike
Artikel
  1. Cambridge Analytica: US-Staatsanwalt klagt gegen Mark Zuckerberg
    Cambridge Analytica
    US-Staatsanwalt klagt gegen Mark Zuckerberg

    Für die US-Staatsanwaltschaft ist klar, dass Mark Zuckerberg für den Datenschutzskandal bei Facebook rund um Cambridge Analytica verantwortlich ist.

  2. Satellitenkommunikation: Bundeswehr soll Starlink testen
    Satellitenkommunikation
    Bundeswehr soll Starlink testen

    Das deutsche Heer soll Produkte für private Satellitenkommunikation testen. Das Verteidigungsministerium nennt in diesem Zusammenhang Starlink von SpaceX.
    Eine Exklusivmeldung von Lennart Mühlenmeier

  3. Macht mich einfach wahnsinnig: Kelber beklagt digitale Inkompetenz von VW
    "Macht mich einfach wahnsinnig"
    Kelber beklagt digitale Inkompetenz von VW

    Der Bundesdatenschutzbeauftragte Ulrich Kelber hat vor einem Jahr ein Elektroauto bei VW bestellt. Und seitdem nichts mehr davon gehört.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV 77" 56% günstiger: 1.099€ • Cyber Week: Alle Deals freigeschaltet • Xbox Series X bestellbar • Samsung schenkt 19% MwSt. • MindStar (u. a. AMD Ryzen 9 5950X 488€) • Bis zu 35% auf MSI • Alternate (u. a. AKRacing Core EX SE Gaming-Stuhl 169€) [Werbung]
    •  /