In wenigen Tagen ist es so weit: Die Olympischen Winterspiele 2022 werden in Peking eröffnet. Dabei spielt eine Smartphone-App eine zentrale Rolle. Denn egal ob als Sportlerin, Zuschauer oder Journalistin, wer vor Ort an dem Event teilnehmen will, der muss die offizielle MY2022-App installieren. Diese dient nicht zuletzt der Covid-19-Kontaktnachverfolgung, es gibt aber auch einen eigenen Messenger, und selbst touristische Empfehlungen werden darin geboten. Vor allem aber müssen alle Nutzer hier sensible Daten eintragen – darunter etwa Passinformationen und laufende Details zum Gesundheitszustand –, die dann an die Organisatoren des Events weitergeleitet werden.

Eine sehr sensible Position also, die die kanadische Bürgerrechtsorganisation Citizen Lab dazu veranlasst hat, sich die App einmal etwas genauer anzusehen. Was man dabei zutage gefördert hat, darf durchaus als besorgniserregend angesehen werden.

Analyse

Die App weise eine Fülle an eklatanten Sicherheitslücken auf. Dazu gehört etwa, dass zwar sämtliche Inhalte verschlüsselt übertragen werden, das zugehörige Zertifikat aber nie geprüft werde. Dadurch sei es über eine klassische "Man in the Middle"-Attacke sehr einfach möglich, sämtliche Informationen auf dem Übertragungsweg mitzulesen. Alternativ könnten den Nutzern so auch falsche Daten untergejubelt werden, um sie in die Irre zu führen. Zum Teil würden Metadaten sogar komplett unverschlüsselt übertragen, womit sie dann etwa in öffentlichen WLANs von jedem problemlos mitgelesen werden könnten.

Bei Citizen Lab will man den Entwicklern der App allerdings keine Absicht unterstellen. Die Forscher gehen angesichts der konkreten Probleme eher von schlampiger Programmierung denn von einem gezielten Spionageversuch aus. Das auch, weil die chinesische Regierung über die Organisatoren ohnehin direkt Zugriff auf diese Daten hat.

Weitere Kritik

Dieser Umstand bringt auch Apple und Google unter Druck, über deren App Stores das Programm verteilt wird. Immerhin wird das Mitlauschen nirgendwo angeführt, bei den Privatsphäreninformationen in Apples App Store behaupten die Entwickler gar, dass keinerlei Daten gesammelt würden.

Apple und Google reagieren nicht

Bei Citizen Lab war man bereits angesichts der kritisierten Sicherheitslücken zu dem Schluss gekommen, dass damit die Regeln von Apple und Google verletzt würden und dass die beiden Hersteller eigentlich MY2022 aus ihren Stores werfen müssten. Dass das wirklich passiert, erscheint angesichts deren wichtiger Rolle für die Olympischen Spiele aber äußerst unwahrscheinlich.

Die Analyse von Citizen Lab hat aber noch andere problematische Punkte zutage gefördert. Die App beinhaltet nämlich auch eine Liste von verbotenen Begriffen – also eine Zensurfunktion für die Kommunikation. Diese ist aber inaktiv, die Forscher klassifizieren das als Zugeständnis an das Internationale Olympische Komitee und die zahlreichen Gäste aus anderen Ländern. In China selbst sind solche Filter ja sonst gebräuchlich. Was aber auch bei dieser App bleibt, ist eine Funktion, um "politisch sensible Inhalte" an die Betreiber zu melden. (apo, 27.1.2022)