พบช่องโหว่แอปโอลิมปิกฤดูหนาวจีน เตือนระวังข้อมูลรั่ว-ถูกสอดแนม

องค์กรความปลอดภัยทางอินเทอร์เน็ตเปิดเผยว่าแอปพลิเคชัน My2022 ของจีนที่บังคับให้ผู้ที่เข้าร่วมโอลิมปิกฤดูหนาวกรุงปักกิ่งทุกคนต้องใช้ มีช่องโหว่ทำให้ข้อมูลของผู้คนรั่วไหลได้ อีกทั้งยังมีองค์กรที่เตือนให้ผู้เข้าร่วมโอลิมปิกควรใช้โทรศัพท์ใหม่แบบใช้แล้วทิ้งเพราะในจีนมีระบบการสอดแนมจากรัฐบาล และให้ทิ้งโทรศัพท์ทันทีหลังออกจากจีนเพื่อไม่ให้ถูกสอดแนมได้

องค์กรซิติเซนแล็บ ซึ่งเป็นองค์กรในแคนาดาคอยติดตามเรื่องเสรีภาพอินเทอร์เน็ต พบว่าโปรแกรมแอปพลิเคชันสอดส่องสุขภาพของผู้เข้าร่วมโอลิมปิกฤดูหนาวกรุงปักกิ่งที่ชื่อ My2022 มีช่องโหว่ในด้านการเข้ารหัสข้อมูลที่อาจจะทำให้ผู้ใช้งานเสี่ยงต่อการถูกเจาะข้อมูลส่วนตัวจากกลุ่มบุคคลที่สามได้ไม่ว่าจะเป็นข้อมูลเสียง, ข้อมูลสุขภาพ, ข้อมูลหนังสือเดินทาง, ข้อมูลทางการแพทย์ และข้อมูลการเดินทาง โดยที่แอปพลิเคชันนี้ ถูกกำหนดให้ทุกคนที่เข้าร่วมโอลิมปิกฤดูหนาวในวันที่ 4 ก.พ. นี้ต้องมีไว้ใช้

นอกจากองค์กรซิติเซนแล็บแล้ว บริษัทด้านความปลอดภัยทางไซเบอร์อีกแห่งหนึ่งคือ Internet 2.0 ก็ออกประกาศเตือนว่าในประเทศจีนมีการสอดแนมทางอินเทอร์เน็ตทั่วประเทศและแนะนำให้ชาวต่างชาติผู้เข้าร่วมโอลิมปิกฤดูหนาวเอาโทรศัพท์เครื่องที่ใช้งานของตัวเองไว้ที่บ้านแล้วใช้โทรศัพท์สำรองที่สามารถใช้แล้วทิ้งได้มาใช้แทนขณะอยู่ในจีน

แต่ทว่าคณะกรรมการโอลิมปิกสากล (IOC) ได้ปฏิเสธข้อมูลการตรวจสอบเรื่องความปลอดภัยของซิติเซนแล็บและกล่าวเน้นย้ำว่าโปรแกรมสอดส่องด้านสุขภาพจากจีนนั้น "ไม่มีช่องโหว่ที่ร้ายแรง" โดยอ้างจากการตรวจสอบขององค์กรความปลอดภัยทางไซเบอร์ที่ทำงานอย่างเป็นอิสระอีกสององค์กร

มีการกำหนดให้บุคคลที่เข้าร่วมโอลิมปิกฤดูหนาวที่จีน ไม่ว่าจะเป็นนักกีฬา, นักข่าว และผู้เข้าร่วมในรูปแบบอื่นๆ ต้องใช้แอพ My2022 เป็นเวลา 14 วันก่อนที่จะเดินทางไปที่ประเทศจีน โดยที่ผู้ใช้งานจะต้องส่งข้อมูลผลการวินิจฉัยโรค COVID-19 ข้อมูลรับรองการฉีดวัคซีน ข้อมูลด้านสุขภาวะและการเดินทาง ผ่านทางแอปพลิเคชันนี้ให้กับผู้จัดโอลิมปิก โดยที่โปรแกรม My2022 นี้นอกจากจะมีการติดตามผลเรื่องสุขภาวะแล้วยังมีข้อมูลข่าวสาร, การส่งข้อมูลด้วยภาพวิดีโอหรือด้วยเสียง รวมถึงส่วนของการแชร์ไฟล์ข้อมูลด้วย

รายงานของซิติเซนแล็บระบุว่า My2022 ไม่ได้รับการรับรองความปลอดภัยแบบ SSL บนเซอร์เวอร์อย่างน้อย 5 เซอร์เวอร์ ทำให้กลายเป็นช่องโหว่ที่อาจจะปล่อยให้ผู้โจมตีทางไซเบอร์พยายามดักข้อมูลเข้ารหัสและขโมยข้อมูลส่วนตัวได้ด้วยวิธีการหลอกให้แอปพลิเคชันเชื่อมต่อกับโฮสต์มิจฉาชีพ ในอีกแง่หนึ่งคือข้อเสียตรงนี้ของแอปพลิเคชันทำให้เกิดการยกเลิกการเข้ารหัสข้อมูลโดยสิ้นเชิง

นอกจากนี้องค์กรไอทียังสำรวจพบอีกว่าข้อมูลที่อ่อนไหวบางส่วนอาจจะถูกส่งผ่านแอปพลิเคชันตัวนี้ไปที่โฮสต์ต้นทางได้โดยไม่มีระบบความปลอดภัยใดๆ คอยป้องกัน ทำให้ข้อมูลของผู้ใช้งานถูกอ่านโดยกลุ่มใดก็ตามที่คอยดักข้อมูลอยู่โดยไม่ต้องใช้ความพยายามล้วงข้อมูลใดๆ เพียงแค่พวกเขาอยู่ในขอบเขตตำแหน่ง Wifi ที่ไม่การคุ้มครองความปลอดภัยเท่านั้น

ซิติเซนแล็บยังได้ระบุถึงบัญชีคำที่ถูกเซ็นเซอร์ในอินเทอร์เน็ตจีน 2,000 คำ ซึ่งในนั้นมีคำที่มีความอ่อนไหวต่อการเมืองจีนคือ ซินเจียง, ทิเบต, ดาไล ลามะ คำเหล่านี้ถูกระบุไว้ในไฟล์ข้อมูลของแอพที่ชื่อว่า "illegalwords.txt" (แปลตรงตัวว่า "คำที่ผิดกฎหมาย") แต่ก็ยังไม่ได้มีการตั้งค่าให้เซ็นเซอร์คำเหล่านี้

กลุ่ม Internet 2.0 ได้นำเสนอเอกสารแสดงให้เห็นว่ากฎหมายเกี่ยวกับความมั่นคงแห่งชาติของจีนส่งผลให้บรรษัทต่างๆ ที่ผลิตแอปพลิเคชันให้จีนต้องเสริมส่วนที่ทำให้รัฐบาลจีนสอดแนมผู้ใช้งานได้ลงไปด้วย ทำให้พวกเขาเตือนว่านักกีฬาหรือผู้ที่ไปเยือนจีนในกีฬาโอลิมปิกจะต้องเผชิญกับกฎหมายนี้และเผชิญกับ "วัฒนธรรมการสอดแนม" ในแบบของจีนไปด้วย

ทำให้ Internet 2.0 เสนอให้ผู้เข้าร่วมควรจะใช้โทรศัพท์ใหม่พร้อมทั้งตั้งอีเมลชั่วคราวในขณะที่อยู่ในประเทศจีนและเตือนพวกเขาว่าให้ใช้โทรศัพท์ใหม่เหล่านี้แบบใช้แล้วทิ้งและอย่าใช้มันอีกหลังจากที่ออกจากจีนแล้วเพื่อป้องกันไม่ให้ข้อมูลส่วนตัวที่เก็บไว้ในระบบคลาวน์ของบัญชีต่างๆ ของพวกเขาถูกดักไว้ได้โดยแอปพลิเคชันหรือผู้ให้บริการจากจีน

ถึงแม้ว่า IOC จะปฏิเสธเรื่องคำเตือนความปลอดภัยทางไซเบอร์ของกลุ่มเหล่านี้ แต่คณะกรรมการโอลิมปิกของสหรัฐฯ ก็แนะนำแบบเดียวกับ Internet 2.0 คือให้ใช้โทรศัพท์ใหม่แบบใช้แล้วทิ้งในจีนเพราะกังวลว่าอาจจะถูกสอดส่องได้ "ในทุกการสนทนา ทุกการทำสัญญาซื้อขาย และกิจกรรมออนไลน์"

กลุ่มนักกีฬาเยอรมนี Athleten Deutschland วิจารณ์ IOC ในเรื่องที่พวกเขาไม่ยอมชี้แจงและ "ไร้ความรับผิดชอบ" ต่อเรื่องที่ให้ผู้เข้าร่วมโอลิมปิกต้องใช้ "แอปที่มีช่องโหว่ด้านความปลอดภัยอย่างเห็นได้ชัด" เช่นนี้

ทางด้านสื่อสายรัฐบาลจีนอย่าง CGTN โต้ตอบด้วยการอ้างคำของนักวิเคราะห์ด้านเทคโนโลยี Andy Mok ที่ระบุว่ารายงานของซิติเซนแล็บ "เป็นการวางแผนร่วมมือโจมตีเพื่อสร้างผลสะเทือนทางลบของการประชาสัมพันธ์ต่อกีฬาโอลิมปิกที่กำลังจะมาถึง"

แต่จากการโต้ตอบของสื่อจีนและของ IOC ก็ทำให้ Oliver Linow ผู้เชี่ยวชาญด้านเสรีภาพทางอินเทอร์เน็ตของสื่อสัญชาติเยอรมนี DW ตั้งคำถามตอกกลับว่า เขาสนใจข้อเท็จจริงและหลักฐาน ซึ่งทางซิติเซนแล็บให้ในเรื่องนี้ได้อย่างโปร่งใส แต่ข้ออ้างของ IOC ที่อ้างว่า my2022 ปลอดภัยเพราะได้รับการพิจารณาจากองค์กรสององค์กรแต่ก็ไม่ได้ให้รายละเอียดอะไรในเรื่องนี้

เรียบเรียงจาก

Internet watchdog finds encryption flaw in mandatory Chinese Olympic app, Global Voices, 22-01-2022

ร่วมบริจาคเงิน สนับสนุน ประชาไท โอนเงิน กรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM" หรือ โอนผ่าน PayPal / บัตรเครดิต (รายงานยอดบริจาคสนับสนุน)

ติดตามประชาไทอัพเดท ได้ที่:
Facebook : https://www.facebook.com/prachatai
Twitter : https://twitter.com/prachatai
YouTube : https://www.youtube.com/prachatai
Prachatai Store Shop : https://prachataistore.net
ข่าวรอบวัน
สนับสนุนประชาไท 1,000 บาท รับร่มตาใส + เสื้อโปโล

ประชาไท