Giochi invernali, tutte le falle della app cinese che traccia gli atleti

In Cina, Innovazione e Business by Lucrezia Goldin

Citizen Lab: My2022 è vulnerabile, dati non protetti. Ma forse è solo un errore: viola le stesse leggi cinesi. Tra le aree grigie, anche una lista di 2.422 parole «sensibili». Come Tibet e Taiwan

My house. My rules. My data. Con questo approccio Pechino si difende dalle polemiche sulla sicurezza informatica alle Olimpiadi invernali dopo che l’app obbligatoria per partecipare ai Giochi creata per gestire gli atleti in arrivo è stata accusata di gravi criticità legate alla protezione dati.

A puntare il dito contro «My2022» è un rapporto dell’istituto di ricerca specializzato in protocolli di cybersecurity dell’Università di Toronto, Citizen Lab. Lo stesso che aveva fatto luce sulla pervasività del software di spyware israeliano Pegasus. Secondo gli autori del report la piattaforma dell’azienda statale Beijing Financial Holdings presenta delle vulnerabilità che mettono a rischio le informazioni personali condivise all’interno dell’app.

Con My2022, Pechino chiede infatti ad atleti e partecipanti ai Giochi informazioni utili al contact tracing come previsto dalle misure di prevenzione contro il Covid. Cartelle cliniche, dati passaporto, aggiornamenti su stato di salute e spostamenti di chi viaggia all’interno delle «bolle anti-Covid». Una mole significativa di dati personali su cittadini prevalentemente stranieri come Pechino non vedeva dall’inizio della pandemia. Citizen Lab parla di un «semplice ma devastante difetto» di programmazione che permette di evadere con facilità il sistema di crittografia che protegge i contenuti condivisi sulla piattaforma. Nello specifico, il sistema di verifica dell’autenticità di un server (il cosiddetto certificato Ssl) è facilmente eludibile e consentirebbe a eventuali malintenzionati di manipolare il responso al server e trafugare informazioni sensibili.

Il paper riporta inoltre che se l’app risulta trasparente riguardo al tipo di dati che raccoglie, non è altrettanto chiaro con quali organizzazioni vengano condivisi. Un dettaglio non da poco, considerato che secondo la normativa cinese qualsiasi contenuto ricada sotto l’ampio (e spesso fumoso) ombrello dei dati sensibili per la «sicurezza nazionale» o utili alla «gestione dell’emergenza sanitaria», può essere utilizzato dalle autorità senza il previo consenso dell’utente. Per proteggere il precario equilibrio di queste Olimpiadi, ogni dato conta.

Tra le aree grigie evidenziate dal report, anche una lista di termini censurabili incorporata nei codici dell’applicazione. All’interno del file illegalwords.txt, Citizen Lab individua un elenco di 2.422 parole politicamente sensibili tra cui le tre T (Tiananmen, Tibet, Taiwan), ma anche Xinjiang e i nomi dei leader del Partito. Un’opzione di filtraggio latente che al momento della verifica non risultava attiva ma che potrebbe servire come sistema di censura per il servizio di messaggistica integrato nella piattaforma. Ai media occidentali che gridano allo scandalo, le autorità cinesi rispondo che l’app è stata creata esclusivamente per «monitorare le condizioni di salute» dei partecipanti alle Olimpiadi e che «segue rigidamente le normative statali per la protezione dei dati».

Pechino ha di recente introdotto una nuova legge sulla sicurezza dati e una normativa sulla protezione della privacy. Le falle presenti attualmente nell’app così come esposte da Citizen Lab sarebbero in violazione di tali norme e anche per questa incoerenza l’istituto canadese ritiene che i difetti di programmazione dell’app siano accidentali. Diversi governi stranieri hanno intimato ai propri atleti di essere cauti nella condivisione dei propri dati personali. Altri hanno proposto ai partecipanti di utilizzare cellulari usa e getta per prevenire il rischio di spionaggio da parte del governo cinese. Ma Pechino difende con convinzione il suo principio di sovranità digitale. Anche in occasione delle Olimpiadi: mio il territorio digitale, mia la gestione dei dati.

Di Lucrezia Goldin

[Pubblicato su il manifesto]