نقص رمزگذاری «ویرانگر» در نرم‌افزار الزامی المپیک چین

یکی از ناظران امنیت سایبری هشدار داد نرم‌افزاری که همه شرکت‌کنندگان در المپیک آتی پکن باید از آن استفاده کنند دارای نقص‌های رمزگذاری است که می‌تواند موجب افشای اطلاعات شخصی آنها شود.

جفری ناکل، نویسنده گزارش سیتیزن لب سه‌شنبه (٢٨ دی‌) هشدار داد «نقص ساده اما ویرانگر» در رمزگذاری نرم‌افزار ام وای ۲۰۲۲ که برای نظارت بر کووید ١٩ استفاده می‌شود و نصب آن برای ورزشکاران، روزنامه‌نگاران و سایر شرکت‌کنندگان در بازی‌های المپیک در پایتخت چین الزامی است، می‌تواند موجب شود اطلاعات سلامت، پیام‌های صوتی و سایر داده‌های آنها افشا شود.

کمیته بین‌المللی المپیک در پاسخ به این گزارش گفت کاربران می‌توانند دسترسی این نرم‌افزار به بخش‌هایی از تلفن‌های همراه خود را غیرفعال کنند و ارزیابی‌های دو سازمان امنیت سایبری که از آنها نامی برده نشد «تأیید کرده است که هیچ‌گونه آسیب‌پذیری بحرانی وجود ندارد.»

این کمیته به خبرگزاری فرانسه گفت: «کاربر تسلط بر مواردی را که نرم‌افزار می‌تواند در دستگاهش به آنها دسترسی داشته باشد، در اختیار دارد» و افزود نصب آن بر روی تلفن‌های همراه الزامی نیست «چراکه پرسنل مجاز می‌توانند در عوض این کار، وارد صفحه‌ وب مربوط به سیستم نظارت بر سلامت شوند.»

کمیته مذکور گفت از سیتیزن لب درخواست کرده است گزارش خود را «برای درک بهتر نگرانی‌های آنها» ارائه کند.

سیتیزن لب گفت در اوایل آذرماه کمیته برگزاری مسابقات چین را از این مسائل مطلع کرده است و به آنها ١٥ روز برای پاسخگویی و ٤٥ روز برای رفع مشکل مهلت داده است، با این حال هیچ پاسخی دریافت نکرده است.

سابقه سانسور و رهگیری اطلاعات

ناکل نوشت: «چین سابقه زیادی در زمینه تضعیف فناوری رمزگذاری به منظور انجام سانسور و رهگیری اطلاعات سیاسی دارد.»

او ادامه داد: «به همین دلیل، منطقی است که بپرسیم آیا رمزگذاری در این نرم‌افزار عمداً به منظور برآورده کردن اهداف رهگیری دستکاری شده است یا این نقص ناشی از سهل‌انگاری برنامه‌نویس بوده است.» او اضافه کرد «دستکاری دولت چین در رمزگذاری نرم‌افزار ام وای ۲۰۲۲ مشکل‌آفرین است.»

این نقایص گواهی‌نامه‌های اس اس ال را تحت تأثیر قرار می‌دهند، گواهی‌هایی که به نهادهای آنلاین اجازه می‌دهند به شکلی ایمن ارتباط برقرار کنند.

ناکل نوشت: نرم‌افزار ام وای ۲۰۲۲ صلاحیت گواهی‌نامه‌های اس اس ال را احراز نمی‌کند، این بدان معنی است که طرف‌های دیگر می‌توانند به داده‌های نرم‌افزار دسترسی داشته باشند، چرا که داده‌ها بدون رمزگذاری معمول گواهی‌نامه‌های اس اس ال منتقل می‌شوند.

او گفت اگرچه این نرم‌افزار عملکرد شفافی درخصوص اطلاعات پزشکی دارد که چین آنها را به منظور غربالگری موارد کووید ١٩ جمع‌آوری می‌کند، اما: «روشن نیست این اطلاعات را با چه کسی یا کدام سازمان(ها) به اشتراک می‌گذارد.»

ام وای ۲۰۲۲ همچنین حاوی فهرستی به نام ایلیگال وردز.تی اکس تی شامل عبارات «حساس سیاسی» در چین است که بسیاری از آنها به وضعیت سیاسی چین یا اقلیت‌های تبت و مسلمان اویغور مربوط می‌شوند.

«شرارت چین» و شی جین‌پینگ، رئیس‌جمهوری چین از جمله این کلمات کلیدی هستند، هرچند ناکل گفت مشخص نیست این فهرست فعالانه برای اهداف سانسور مورد استفاده قرار می‌گیرد یا خیر.

او نوشت: «ممکن است این نرم‌افزار به دلیل چنین قابلیت‌هایی سیاست‌های گوگل و اپل را در مورد نرم‌افزار تلفن‌های هوشمند و همچنین خود قوانین و استانداردهای ملی چین را در زمینه حفاظت از حریم خصوصی نقض کند و راه‌های بالقوه‌ را برای بهره‌برداری در آینده در اختیار قرار دهد.»

شورای جهانی امامان به منظور اعلام همبستگی با جمعیت ستمدیده مسلمان اویغور چین از مسلمانان سرتاسر جهان خواسته است از شرکت یا حضور در المپیک زمستانی ١٤٠٠ پکن خودداری کنند.

پکن در منطقه سین‌کیانگ واقع در شمال غرب چین تخلفات زیادی را مرتکب شده است. این منطقه بیش از یک میلیون نفر جمعیت دارد و بیشتر ساکنان آن اویغور هستند که به صورت غیرقانونی در اردوگاه‌های «بازآموزی سیاسی» در بازداشت به سر می‌برند.

تحقیقات و مصاحبه‌های مستقل با زندانیان سابق این اردوگاه‌ها روشن کرده است که در داخل آنها شکنجه‌های جسمی و روانی، شستشوی مغزی و تجاوز جنسی و آزار جنسی سیستماتیک رخ می‌دهد. این اردوگاه‌ها عملاً نوعی زندان محسوب می‌شوند.

خطرات امنیتی در تلفن‌های چینی

با ادامه انجام مطالعاتی که نشان داده است تلفن‌های چینی خطراتی مانند امنیت ملی، سانسور، مسائل مربوط به حریم خصوصی و افشای اطلاعات را موجب می‌شوند، این دستگاه‌ها در سرتاسر جهان تحت نظارت بیشتری قرار گرفته‌اند.

وزارت دفاع لیتوانی در شهریورماه اعلام کرد مؤسسات عمومی و مصرف‌کنندگان باید مراقب استفاده از تلفن‌های چینی باشند و در مورد احتمال وجود نقص‌های امنیتی و افشای اطلاعات هشدار داد.

مرکز ملی امنیت سایبری این کشور گزارش داد «خطرات امنیت سایبری» را در دو تلفن همراه محبوب ساخت چین که در اروپا فروخته می‌شوند یعنی مدل ام آی ۱۰ تی ۵ جی ساخت شیائومی و مدل پی٤۰ ۵ جی ساخت هوآوی مشاهده کرده است.

این مرکز گزارش داد که در تلفن شیائومی که محبوب‌ترین تلفن هوشمند در اروپا است یک ابزار سانسور داخلی پیدا کرده است که می‌تواند عبارات جستجوی خاصی را به زبان چینی و همچنین لاتین مسدود کند.

به نظر می‌رسد اصطلاحات سانسور شده دائماً در حال گسترش باشند چراکه در فروردین‌ماه ١٤٠٠ تعداد ٤٤٩ کلمه یا عبارت در فهرست سیاه قرار داشت اما این تعداد تا شهریورماه به ١ هزار و ٣٧٦ کلمه رسید. این عبارت‌ها شامل کلماتی به زبان چینی و همچنین لاتین هستند.

اصطلاحات مسدود شده عبارت‌اند از: «تبت را آزاد کنید»، «زنده باد استقلال تایوان»، «جنبش دموکراسی»، «جنبش دانشجویی»، «دیکتاتوری» و همچنین نام برخی شرکت‌ها و خبرگزاری‌های غربی.

مارگیریس ابوکوویسیوس، معاون وزیر دفاع لیتوانی به صدای آمریکا گفت: «ما به وضوح شاهد بودیم که تمام آن کلمات کلیدی دارای انگیزه سیاسی هستند.»

او گفت: «بسیار بسیار نگران کننده است که یک ابزار سانسور داخلی و کلمات کلیدی وجود داشته باشد که جستجوی شما را در وب فیلتر کند یا قدرت انجام چنین کاری را داشته باشد.»

در این گزارش آمده است تلفن هوآوی نیز یک تهدید محسوب می‌شود چراکه به‌طور خودکار کاربران را به فروشگاه‌های نرم‌افزار شخص ثالث هدایت می‌کند که ممکن است از نرم‌افزار‌های آلوده به ویروس میزبانی کنند.