Dünya

Uzmanlar uyardı: Pekin Kış Olimpiyatları'nın Covid uygulaması güvenli değil

2022 Pekin Kış Olimpiyatları'na katılan herkesin kullanması zorunlu olan Covid-19 izleme uygulamasının veri ihlallerine açık olabileceği bildiriliyor.

18 Ocak 2022 19:39

Uzmanlar, yakında başlayacak olan Pekin Kış Olimpiyatları'nda herkesin kullanması zorunlu olan Covid-19 uygulamasının veri ihlallerine karşı savunmasız olduğu yolunda uyarıda bulundu.

Çin'in başkentinde yapılacak olimpiyatlara katılan tüm sporcu, izleyici ve basın mensupları 'My2022' adlı uygulamayı kullanacak.

Uygulama, günlük Covid vakalarını izlemenin yanı sıra sohbet ve dosya gönderme imkanı da sunuyor ve olimpiyatlarla ilgili haberler veriyor.

Ancak Citizen Lab adlı siber güvenlik şirketi, uygulama dosyalarından bir çoğunda şifreleme olmadığını açıkladı. Çin ise endişeleri reddetti.

Citizen Lab'ın açıkladığı rapor, 4 Şubat'ta başlayacak olimpiyatlar öncesinde ziyaretçilerin siber güvenliği ile ilgili uyarıların sıklaştığı bir döneme rastladı.

Pekin olimpiyatlarını izlemeye gidenlere yanlarında kullanıldıktan sonra atılacak telefonlardan götürmelerini ve Çin'de kalacakları süre için ayrı e-posta hesapları açmalarını öneren uzmanlar var.

Bazı ülkeler de sporcularına, kullandıkları ana cihazları Çin'e götürmemeleri yolunda uyarıda bulunuyor.

Sansür kaygıları

Citizen Lab raporunu kaleme alan uzmanlar, uygulamada ayrıca sansüre yönelik bir anahtar kelime listesi ile 'siyasi açıdan hassas' ifadeleri işaretlemek için kullanılabilecek bir bildirim özelliği bulunduğunu tespit etti.

Uzmanlar, Çin'de kullanılan uygulamalarda bu tür özelliklere ve güvenlik boşluklarına rastlandığını, kullanıcılar açısından bir risk oluşturduğunu söylüyor.

Uzmanlar, "yasa dışı kelimeler" listesinin şu anda aktif görünmediğini, ancak durumun pek açık olmadığını belirtiyor.

Listedeki 2442 anahtar kelimenin çoğu siyasi ya da küfür ve yasa dışı mallarla ilgili. Çoğu Çince, ancak aralarında Tibetçe, Uygurca ve İngilizce kelimeler de bulunuyor.

Listede ayrıca Çinli liderlerin ve resmi kurumların adları ile 1989'da Pekin'in Tiananmen meydanında demokrasi yanlılarının öldürülmesine ve Çin'de faaliyetleri yasak olan Falun Gong adındaki dini gruba atıfta bulunmak için kullanılabilecek ifadeler var.

Hem anahtar kelime listesi hem de bildirim butonu Çin'de kullanılan veya geliştirilen uygulamaların tipik özellikleri arasında, ancak uzmanlara göre bazı içeriklerin şeffaf olmayan biçimde ortadan kaldırılmasına ve başkaları hakkında kötü niyetli bildirimler yapılmasına olanak tanıyabilir.

Olimpiyatlara gidecek olan herkes, Çin'e hareket etmeden 14 gün önce Covid uygulamasını indirmek ve her gün Covid-19 olup olmadıklarını girmek zorunda.

Yabancı ziyaretçiler aynı zamanda, pasaport, seyahat bilgileri ve geçirmiş oldukları hastalıklar gibi daha önce Çin hükümetine bildirmiş oldukları bilgileri de uygulamaya yükleyecek.

CITIZENLAB
My2022 uygulamasının ekran görüntüsü

Citizen Lab, bilgisayar korsanlarının isterlerse uygulama yazılımındaki zayıflıklardan yararlanabilecekleri görüşünde.

Uzmanlar, uygulamanın yönlendirdiği sitelerin SSL olarak bilinen dijital güvenlik sertifikalarını kontrol etmediğini ve bazı verilerin herhangi bir SSL koruması ya da şifreleme olmadan gönderilebildiğini bildirdi.

Uzmanlara göre bu gibi güvenlik eksiklikleri, Google ve Apple uygulamaları indirilen sitelerin politikalarının yanı sıra tüketici bilgilerinin gizliliği hakkındaki Çin yasalarına da aykırı olabilir.

Ancak Çin'in resmi medya kurumlarından Global Times, "tüm kişisel bilgilerin şifreleneceğini" belirterek endişeleri reddetti.

Diğer endişeler

Siber güvenlik şirketi Internet 2.0 da BBC tarafından görülen raporunda potansiyel güvenlik risklerine dikkat çekti ve olimpiyatlar sırasında kullanılan telefonların Çin'den ayrıldıktan sonra atılması gerektiğini belirtti.

Internet 2.0, "Çin'in ulusal veri güvenliği yasaları Batı'nın gizlilik ve özgürlük değerlerine göre hazırlanmadığı için aynı korumayı sağlamıyor" diyor.

Amerikan USA Today gazetesi de gördüğü bir bültene dayanarak, olimpiyatlara katılacak olan ABD ekibinin kullanıldıktan sonra atılacak telefon ve bilgisayarlar kullanmaya 'teşvik edildiğini' bildirdi.

USA Today'e göre, bültende "Bilgisayarlar gibi, cep telefonlarındaki veri ve uygulamalar da kötü niyetli müdahalelere, virüslere ve veri güvenliğine aykırı durumlara maruz kalabilir" denildi.