Pekings My2022-Olympia-App: nur Sicherheitsrisiko oder Spionagesoftware?

Ein Werbeplakat für die Olympischen Winterspiele und Paralympics in Peking hängt an einer Bushaltestelle in der chinesischen Hauptstadt. Die Botschaft könnte auf Deutsch sowohl „Zusammen für eine gemeinsame Zukunft“ wie auch „Zusammen für eine geteilte Zukunft“ heißen. Ähnlich mehrdeutig ist die App My2022.

Freundlich lächelnd und winkend grüßt Bing Dwen Dwen, eines der beiden chinesischen Maskottchen, aus der My2022-App. Der Kindchenschema-Panda im Eisanzug soll die freundschaftlich-spielerische Note der Pekinger Olympischen Spiele signalisieren. Die App selbst sorgt nicht für viel Harmonie. Vielmehr treibt Sportler und Funktionäre jenseits von China die Sorge um, was mit ihren hochsensiblen Gesundheits- und Passdaten passiert, die die App speichert und abgleicht.

Weiterlesen nach der Anzeige
Weiterlesen nach der Anzeige

My2022 ist Pflicht für Athleten, Sportler, Journalisten, Funktionäre und Gäste, die zu den Winterspielen akkreditiert sind. Auf den ersten Blick scheint die bunte App eine harmlos-praktische Ansammlung von Services zu sein – mit Icons für den offiziellen Olympia-Store, Gepäcknachverfolgung, Wetterportal und Chatfunktionen.

Doch Experten haben starke Zweifel an der Harmlosigkeit der App. Das betrifft zunächst die Datensicherheit. Wegen einer „simplen, aber verheerenden Schwachstelle“ könnten bei Anwendung persönliche Daten abgefangen werden, teilte die auf Cybersicherheit spezialisierte interdisziplinäre Forschungsstelle Citizen Lab an der kanadischen Universität Toronto mit. My2022 wurde von der Beijing Financial Holdings Group, einem chinesischen Staatsunternehmen, entwickelt.

In kindlich-harmlosem Design kommt My2022 daher. Doch Experten warnen vor der Universal-App der Olympischen Spiele in China.

In kindlich-harmlosem Design kommt My2022 daher. Doch Experten warnen vor der Universal-App der Olympischen Spiele in China.

Weiterlesen nach der Anzeige
Weiterlesen nach der Anzeige

Laut Citizen Lab fanden deren Experten in der Android-Version von My2022 eine Datei namens „illegalwords.txt“. Diese habe 2442 Begriffe enthalten, die in China als politisch heikel gelten. Trotz der Einbettung in die App habe man allerdings keine Funktion entdeckt, mit der sich diese Begriffe für Zensur hätten nutzen lassen. Die Begriffe enthielten Schlagworte wie „Uiguren“ oder „Dalai Lama“. Die Liste enthalte Einträge auf Englisch, Chinesisch, Uigurisch und Tibetanisch. Neben politischen Tabuthemen wie „Tiananmen-Aufstand“ seien zudem pornografische Suchbegriffe enthalten.

Neben dieser verborgenen Liste macht den Forschenden von Citizen Lab vor allem der Mangel an Datenschutz zu schaffen. Da alle ausländischen Besucher der Spiele die App bereits 14 Tage vor Anreise mit täglichen Gesundheitsbefunden wie Körpertemperatur und allgemeinem Wohlbefinden sowie Dokumenten wie Tests befüllen müssen, entsteht eine hochsensible Sammlung individueller medizinischer Daten, die sich noch nicht einmal durch eine schlichte SSL-Verbindung schützen ließe. Trotzdem müssen die Teilnehmer aller Delegationen auch noch ihre individuelle medizinische Historie hinterlegen – und auch diese Daten, so Citizen Lab, könnten leicht ausgelesen werden und unterlägen keiner speziellen Sicherung.

DOSB verteilt Extratelefone für die App

Ganz zu schweigen von Pass- und Adressdaten, die auch in der My2022-App eingetragen werden müssen. Deutschlands Oberolympioniken jedenfalls trauen dem olympischen Frieden in der App nicht. Der Deutsche Olympische Sportbund (DOSB) stattete seine Delegation mit neuen, „leeren“ Smartphones aus, um die Weitergabe zusätzlicher privater Daten zu unterbinden.

Folgende Informationen werden von der App sowieso geteilt, unabhängig von eventuellen politischen oder Hacker-Manipulationen: Geräteidentifikation, Mobilfunkanbieter, installierte Apps auf dem Mobiltelefon, die User zum Teilen von Nachrichten auf Wechat, Standortdaten zur Nutzung von Weibo-Auto-Navi, Echtzeitstandort über Mobilfunknetz und WLAN, Speicherzustand des Smartphones bei Nutzung von Audiodateien.

Weiterlesen nach der Anzeige
Weiterlesen nach der Anzeige
Speziell unter den Menüpunkten „Green Health Code“ und „Customs Declaration“ müssen offizielle Besucher der Olympischen Spiele höchstsensible Daten wie eine persönliche Krankengeschichte, Passkopien und tägliche Gesundheitsbulletins hinterlegen.

Speziell unter den Menüpunkten „Green Health Code“ und „Customs Declaration“ müssen offizielle Besucher der Olympischen Spiele höchstsensible Daten wie eine persönliche Krankengeschichte, Passkopien und tägliche Gesundheitsbulletins hinterlegen.

Jarno Niemelä, Senior Researcher beim finnischen Cybersecurity-Unternehmen F-Secure, sagte der Zeitung „Ilta Sanomat“, die App solle möglichst nur auf einem sogenannten Burner Phone installiert werden – einem Gerät, das nach einer Reise zerstört wird. „Es lohnt sich nicht, zu viel darüber nachzudenken, ob die Anwendung sicher ist oder nicht. Gehen Sie einfach davon aus, dass sie es nicht ist, und handeln Sie entsprechend“, so Niemelä.

„Was wie ein eigenes Kabel aussieht, kann in Wirklichkeit etwas anderes sein“

Zudem warnt Niemelä China-Reisende vor einem dort üblichen Trick, mit dem ihre Daten gegebenenfalls illegal weiterverbreitet werden könnten: „Ladekabel von iPhones und anderen bekannten Marken werden gern in Hotelzimmern gegen manipulierte Kabel getauscht, wenn die Gäste etwa beim Frühstück sind. Nachrichtendienste sind in der Lage, ihre eigenen Versionen der gängigsten Kabel herzustellen. Was wie ein eigenes Kabel aussieht, kann in Wirklichkeit etwas ganz anderes sein.“

IOC und chinesische Funktionäre negieren übrigens die Erkenntnisse von Citizen Lab. Die Datenverarbeitung und die Sicherheitsmaßnahmen der App entsprächen internationalen Standards.

Mehr aus Digital

 
 
 
 
 
Anzeige
Empfohlener redaktioneller Inhalt

An dieser Stelle finden Sie einen externen Inhalt von Outbrain UK Ltd, der den Artikel ergänzt. Sie können ihn sich mit einem Klick anzeigen lassen.

 

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unseren Datenschutzhinweisen.