2022 Kış Olimpiyatları'nda kullanılacak My2022 uygulamasında güvenlik açığı

2022 Kış Olimpiyatlarında kullanılacak My2022 uygulaması, eleştirilerin hedefinde. DW’nin ulaştığı bir rapora göre, yazılımın ciddi güvenlik açıkları var.

Dünyanın dört bir yanındaki sporcular, 4 Şubat'ta başlayacak Pekin'deki Kış Olimpiyatlarına yolculuk hazırlığı yapıyor. Pandemi sürecinde düzenlenecek ikinci Olimpiyatlarda sıkı sağlık kurallarına uyulması bir zorunluluk. Ancak Çin Olimpiyat Organizasyon Komitesi'nin, korona önlemleri kapsamında temas takibi amacıyla kullanımını öngördüğü "My2022" adlı mobil uygulama, yoğun eleştiri ve tartışmaları da beraberinde getirdi.

Eleştirilerin odak noktasını, kişisel verilerin güvenliği konusunda söz konusu uygulamanın yetersiz kalması oluşturuyor. Nitekim Deutsche Welle'nin ulaştığı ve "Citizen Lab" adlı disiplinler arası araştırma platformunun konuyla ilgili raporunda da bu durum teyit ediliyor. Rapora göre, uygulamadaki güvenlik açıkları nedeniyle sporcular, gazeteciler ve yetkililer, bilgisayar korsanlarının saldırılarına maruz kalabilir.

Daha önce "Pegasus" adlı casus yazılımı ifşa eden Toronto merkezli Citizen Lab'in bilişim uzmanları, My2022 uygulamasının içine gizlenmiş ve Çin hükümetinin "yasaklı" veya "sakıncalı" gördüğü bazı kavramlardan oluşan bir de sansür listesi buldu.

Bu gelişme, Milli Olimpiyat Komitelerini ve Olimpiyatlara katılacak sporcularını, özel telefonlarını ve dizüstü bilgisayarlarını evde bırakmaya çağıran Almanya, Avustralya, İngiltere ve ABD'nin "dijital casusluk" endişelerinin pek de yersiz olmadığını kanıtlıyor. Hatta Hollanda Milli Olimpiyat Komitesi, sporcularının Çin'e kişisel akıllı telefon, tablet ve dizüstü bilgisayarlar götürmesini tümüyle yasakladı.  

My2022 ile iletişim trafiği mi gözetlenecek?

Geçen yıl Tokyo'daki Yaz Oyunları'nda da korona önlemleri kapsamında sporcuların temas takibi amacıyla benzer bir akıllı telefon uygulaması kullanıldı. Bu nedenle ilk bakışta Çin hükümetinin de aynı yolu izlemesinde anormal bir durum yok gibi görünüyor. Nitekim Çinli yetkililer, My2022 uygulamasının, Olimpiyat katılımcılarının sağlık durumunu izlemek ve korona testlerinin pozitif çıkması durumunda temasları takip etmek amacıyla tasarlandığını ısrarla vurguluyor.

Uluslararası Olimpiyat Komitesi (IOC) de "Playbook" (Oyun Kitabı) adlı resmî müsabaka yönetmeliğinde, "Olimpiyat Balonu"nda bulunacak olan sporcu, antrenör, gazeteci, kafile yöneticileriyle binlerce yerel çalışanın, sağlık verilerini My2022 uygulamasına veya ilgili internet sitesine girmelerini zorunlu tutuyor.

My2022 yüklendiğinde pasaport ve seyahat bilgilerinin yanı sıra son zamanlarda ateş, yorgunluk, baş ağrısı, kuru öksürük, ishal veya boğaz ağrısı gibi Covid-19 semptomu olması muhtemel rahatsızlıkların meydana gelip gelmediğini de belirtmek gerekiyor. Yurtdışından gelenlerin, bu verileri ülkeye girişlerinden 14 gün öncesinden başlayarak girmeleri öngörülüyor.

Uygulama tabanlı temas izleme, birçok ülkede Covid salgınıyla mücadelenin modern bir yolu olarak kabul ediliyor. Ancak Citizen Lab raporuna göre, Çin'in My2022 uygulaması, temas izlemeden çok daha fazlasını kapsıyor: Olimpiyat etkinliklerine giriş haklarının düzenlenmesi, müsabaka programı ve organizasyonu hakkında kapsamlı ve güncel bilgiler, ziyaretçiler için turistik öneriler, yazılı ve sesli sohbet imkanı, etkinliklerden kısa haberler ve dosya paylaşımı gibi hizmet ve işlevler.

Citizen Lab uzmanları, uygulamadaki bazı hizmetlere dair veri trafiğinin ya yetersiz ya da hiç şifrelenmediğini de tespit etti. Bu da, örneğin My2022'deki sohbet hizmetine ilişkin meta verilerin, kolayca bilgisayar korsanlarının takip ve kontrolüne geçebileceği anlamına geliyor.

Kanada da, Pekin Olimpiyatları'na katılacak kafilesinin "dijital casusluk" riskine maruz kalacağı yönünde endişe taşıyan ülkelerden.

"Kur'an-ı Kerim" ve "Müslüman" sansür listesinde

Bilişim uzmanlarının keşfettiği "illegalwords.txt" (yasadışı sözcükler) adlı küçük metin dosyası, mobil uygulamayla ilgili şüpheleri güçlendiriyor. Listede gerek Çin Halk Cumhuriyeti'nde gerekse Tayvan ve Hong Kong'da kullanılan Çince lehçelerdeki çok sayıda sözcüğün yanı sıra bazı Uygurca, Tibetçe ve İngilizce terimler de yer alıyor.

Özellikle Çin Komünist Partisi ve devlet idarecilerine yönelik küfür ve hakaret içerikli ibarelerin dışında Pekin yönetimi tarafından yasaklanan pek çok "sakıncalı" ibare de bu listede sıralanıyor: Falun Gong, Tiananmen protestoları, Dalay Lama, Sincan ve Uygurlar gibi ifadelerin yanı sıra "Müslüman" ve "Kur'an-ı Kerim" ibarelerinin de sansür listesinde yer aldığı görülüyor. Listede farklı lehçe ve dillerde toplam 2 bin 442 "sakıncalı" anahtar kelime sıralanıyor.

Çin Organizasyon Komitesi ifşalara yanıt vermedi

2021 Aralık başında Citizen Lab, ortaya çıkardığı bulguları Çin Olimpiyat Organizasyon Komitesi'ne bildirdi ve belirlenen güvenlik açıklarını 45 gün içinde gidermeye çağırdı. Aksi halde raporun, bu sürenin bitiminde kamuoyuyla paylaşılacağı kaydedildi. Ancak söz konusu raporu hazırlayanlardan Jeff Knockel, DW'ye yaptığı açıklamada, "Çin Organizasyon Komitesi şu ana kadar ifşalarımıza bir yanıt vermedi" dedi. 

Gerçi Apple ve Google'ın uygulama mağazalarında, My2022'in birkaç güncellemesi yayınlandı. Ancak Citizen Lab'in siber güvenlik uzmanları, 17 Ocak 2022'de yaptıkları incelemede gerek sansür listesinde gerekse sözü edilen güvenlik açıklarında herhangi bir değişiklik veya düzeltme yapılmadığını tespit etti.

Yasa ve yönetmeliklerin ihlali

Uluslararası Olimpiyat Komitesi'nin müsabaka yönetmeliğinde, My2022 mobil uygulamasının "uluslararası standartların yanı sıra Çin yasalarına da uygun olduğu" belirtiliyor.

Ancak Citizen Lab bu görüşe katılmıyor. Raporda, kişisel bilgilerin güvenli olmayan bir şekilde aktarılmasının "Çin veri koruma yasalarının doğrudan ihlali anlamına olabileceği" sonucuna varılıyor. Çin'de yürürlükte olan veri koruma yasası, kişilerin sağlığıyla ilgili bilgilerin her zaman şifreli olarak depolanmasını ve iletilmesini öngörüyor.

Citizen Lab'in ifşaları, My2022'yi uygulama mağazalarında bulundurmaya devam eden teknoloji devleri Apple ve Google ile ilgili de bazı soruları gündeme getiriyor. DW'ye konuşan Jeff Knockel, "Her iki platform da, uygulamaların hassas verileri uygun bir şifreleme olmadan iletmesini yasaklıyor. Bu durumda ikisinin de, mevcut güvenlik sorunlarının giderilmemesinin, My2022'yi uygulama mağazalarından kaldırmayı da beraberinde getirmesine dair bir karar vermesi gerekiyor" diyor. 

Ingo Mannteufel / Oliver Linow

© Deutsche Welle Türkçe

(*) Bu haberin yayınlanmasının ardından Deutsche Welle, Apple ve Google'a görüş bildirmeleri yönünde talepte bulundu.

Dünya Haberleri