»My2022« Forscher warnen vor Sicherheitslücke in offizieller Olympia-App

Die App »My2022« sammelt Daten von Teilnehmern der Olympischen Winterspiele in China, erlaubt aber auch Chats. IT-Experten zufolge ist die Übertragung schlecht geschützt, was die Entwickler seit Wochen wüssten.
Bald beginnen die Olympischen Winterspiele in China: Jetzt gibt es Kritik an der offiziellen App

Bald beginnen die Olympischen Winterspiele in China: Jetzt gibt es Kritik an der offiziellen App

Foto: NOEL CELIS / AFP

IT-Sicherheitsforscher haben in der offiziellen App zu den Olympischen Winterspielen in China ein potenzielles technisches Problem entdeckt. Wegen einer »einfachen, aber verheerenden Schwachstelle« in der Verschlüsselungstechnik könnten persönliche Informationen bei der Übertragung abgefangen werden, warnen Forscher des kanadischen Citizen Lab der Universität von Toronto . Athletinnen und Athleten sowie andere Teilnehmer der Olympischen Winterspiele in Peking müssen das Handy-Programm »My2022«  auf Geheiß der Organisatoren zur Vorbeugung angesichts der Pandemie benutzen.

In die App werden Gesundheitsdaten wie Krankheitsgeschichte, Impfstatus, PCR-Testergebnisse, tägliche Temperaturmessungen in den 14 Tagen vor den Spielen, frühere Reisen sowie Passdetails eingegeben. Die App bietet aber auch Funktionen wie Text- und Audio-Chat, Medaillenspiegel, Nachrichten, Wetter und Datentransfers. Die Forscher werfen die Frage auf, »ob die Verschlüsselung für Überwachungszwecke absichtlich sabotiert wurde oder ob der Fehler aus Nachlässigkeit der Entwickler entstanden ist«.

Sie entdeckten für eine mögliche Zensur und Moderation von Inhalten eine Liste mit 2442 Schlagwörtern, die aber nicht aktiviert worden sei. Es gehe unter anderem um Tibet, Xinjiang und mögliche Kritik an der Kommunistischen Partei, aber auch um Pornografie. Die als »illegal« beschriebenen Wörter stehen meist in Chinesisch, aber auch Uigurisch oder Tibetisch in der Liste. Zu ihnen zählen der Analyse zufolge »Dalai Lama«, »Tian'anmen« und »Koran«.

Keine untypische Funktion

Warum die Funktion nicht aktiviert ist, sei unklar. Sie könnte aber über ein Update zum Einsatz kommen, warnten die Forscher. Solche Listen seien im Zuge rechtlicher Vorgaben häufig in chinesische Apps eingebaut. »My2022« erlaube Nutzern auch, »politisch heikle« Inhalte zu melden.

Über die Ursachen der Verschlüsselungsmängel können die Forscher nur spekulieren. Da die meisten sensiblen Informationen in der App ohnehin an amtliche Stellen gingen, wäre es wenig hilfreich, wenn die Behörden »ihre eigenen Daten« abfangen würden, schreiben sie. Die Forscher halten eine »große amtliche Verschwörung« daher für wenig wahrscheinlich. Eine Hypothese lautet, dass die Verschlüsselung bewusst eingeschränkt worden sein könnte, damit die App auch über Chinas Netze funktioniere, die stärker als in anderen Ländern Überwachungstechnologie einsetzten.

Die Organisatoren der am 4. Februar startenden Spiele seien bereits am 3. Dezember informiert und gebeten worden, die Mängel innerhalb von 45 Tagen zu beheben. Bis Dienstag habe es keine Antwort gegeben, heißt es im Bericht. Auch seien die Probleme nicht beseitigt worden. Aus diesem Grund habe man sich zur Veröffentlichung der Erkenntnisse entschieden.

Jemand könnte sich zwischenschalten

Die Schwachstelle bei der Verschlüsselung besteht nach Angaben der Forscher darin, dass das Programm mehrere sogenannte SSL-Zertifikate nicht überprüft und somit keine Gewissheit besteht, dass die Daten wirklich an den bestimmungsgemäßen Server gehen. So könnte sich jemand zwischenschalten und die Daten abfangen.

Einige Daten werden nach Angaben der Experten auch ohne jede Verschlüsselung gesendet, was ein Ausspionieren schon bei ungesicherten WLAN-Netzen oder durch Internetanbieter ermöglicht. Wer mit wem chattet, ließe sich dadurch problemlos von jedem mit Zugriff auf das entsprechende Netz nachvollziehen.

»My2022« wurde im Auftrag des Organisationskomitees von der staatlichen Beijing Financial Holdings Group entwickelt. Die App macht kein Geheimnis daraus, dass sie Daten mit einer Reihe von Organisationen teilt. Darunter sind die Organisatoren der Winterspiele, Sicherheits- und Gesundheitsbehörden, das Internationale Olympische Komitee (IOC) und weitere Partner, die an der Umsetzung der Maßnahmen gegen Covid-19 beteiligt sind.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Aus Sorge um die privaten Daten stellen mehrere Länder ihren Athleten nach Presseberichten »saubere« Mobiltelefone zur Verfügung, um »My2022« darauf zu installieren. Die chinesischen Organisatoren wiesen Spionagevorwürfe zurück. Sie hielten sich strikt an die Gesetze zum Schutz persönlicher Informationen.

Im Bericht des Citizen Lab heißt es, die unsichere Datenübertragung könnten nicht nur gegen Anforderungen der App-Stores von Google und Apple verstoßen, sondern auch gegen Chinas eigene Gesetze zum Schutz der Privatsphäre.

mbö/dpa

Mehr lesen über

Olympische Winterspiele 2022 Hacker Apps
Die Wiedergabe wurde unterbrochen.
Merkliste
Speichern Sie Ihre Lieblingsartikel in der persönlichen Merkliste, um sie später zu lesen und einfach wiederzufinden.
Jetzt anmelden
Sie haben noch kein SPIEGEL-Konto? Jetzt registrieren
Mehrfachnutzung erkannt
Bitte beachten Sie: Die zeitgleiche Nutzung von SPIEGEL+-Inhalten ist auf ein Gerät beschränkt. Wir behalten uns vor, die Mehrfachnutzung zukünftig technisch zu unterbinden.
Sie möchten SPIEGEL+ auf mehreren Geräten zeitgleich nutzen? Zu unseren Angeboten