Nhiều rủi ro từ ứng dụng chống dịch COVID-19 của Olympic Bắc Kinh

Liệu có vấn đề kiểm duyệt chính trị trong “Ứng dụng phòng chống COVID-19 (viêm phổi Vũ Hán)” mà Thế vận hội Mùa đông Bắc Kinh yêu cầu tuyển thủ các nước cài đặt? Cơ quan nghiên cứu của Canada phát hiện chức năng mã hóa của phần mềm “My 2022” (năm 2022 của tôi) là vô dụng, đồng thời có vấn đề kiểm duyệt cái gọi là “từ nhạy cảm”.

Bắc Kinh yêu cầu người tham gia sử dụng “My 2022”

Theo cẩm nang về Thế vận hội Mùa đông Bắc Kinh do Ủy ban Olympic Quốc tế phát hành, tất cả các vận động viên, huấn luyện viên, nhà báo, quan chức thể thao và hàng ngàn nhân viên địa phương từ các nước tham gia khi bước vào cái gọi là “bong bóng” chống COVID-19 của Trung Quốc đều phải cài đặt “My 2022”, hoặc đăng ký thông tin cá nhân từ trang web.

Theo cẩm nang hướng dẫn, mọi người từ tất cả các nước được yêu cầu tải xuống “My 2022” ít nhất 14 ngày trước khi đến Trung Quốc, trong thời gian đó phải báo cáo tình trạng sức khỏe của họ hàng ngày, phải tải lên giấy chứng nhận tiêm chủng và kết quả xét nghiệm COVID-19. Sau khi đến Trung Quốc cũng phải hàng ngày kê khai qua phần mềm tình trạng sức khỏe (gồm cả nhiệt độ cơ thể).

Theo báo cáo của Citizen Lab từ Đại học Toronto, phần mềm “My 2022” cung cấp một loạt tính năng, ngoài việc gửi thông tin sức khỏe của người dùng còn bao gồm các chức năng khác như trò chuyện trực tiếp, trò chuyện thoại-âm thanh, truyền tệp, cập nhật tin tức và thời tiết…

“Lỗ hổng mang tính thảm họa”

Qua phân tích “My 2022”, cơ quan chuyên nghiên cứu về bảo mật kỹ thuật số Citizen Lab của Canada đã phát hiện ra ứng dụng có những rủi ro bảo mật có thể dẫn đến xâm nhập mạng.

Jeffrey Knockel, một nhà nghiên cứu tại Citizen Lab đã viết trong báo cáo rằng phần mềm này “có một lỗ hổng đơn giản nhưng tiềm ẩn tai họa, đó là khả năng có thể dễ dàng phá vỡ vấn đề mã hóa giọng nói và truyền tệp của người dùng”.

Chứng nhận chứng chỉ SSL – một thỏa thuận đảm bảo tin cậy giữa thông tin truyền giữa các thiết bị và máy chủ – là không có tác dụng đối với My 2022, có nghĩa là phần mềm có lỗ hổng mật mã nghiêm trọng. Nghĩa là phần mềm này có thể được kết nối với máy chủ độc hại, thông tin có thể bị chặn.

Vấn đề là những lỗ hổng mạng này có phải là do cơ quan chức năng Đảng Cộng sản Trung Quốc (ĐCSTQ) cố tình cài vào? Báo cáo nói rằng họ đã phá vỡ công nghệ mã hóa để kiểm duyệt và giám sát chính trị, đồng thời cũng muốn lợi dụng liên lạc mạng không được mã hóa để tấn công. Ngoài ra các chính quyền địa phương của ĐCSTQ thường sử dụng kỹ thuật đánh chặn dữ liệu để thăm dò lưu lượng truy cập wifi cho mục đích giám sát.

Kiểm duyệt “từ nhạy cảm về mặt chính trị”

Phần mềm này cũng bao gồm một tính năng cho phép người dùng báo cáo cái gọi là “nội dung nhạy cảm về chính trị”. Hiện nay, không rõ thông tin báo cáo này sẽ được chia sẻ với ai.

Ngoài ra, nghiên cứu cũng tìm thấy một biểu mẫu đánh giá “các từ nhạy cảm” trong phần mềm, tức là một tệp văn bản “illegalwords.txt” bao gồm 2.442 từ khóa và cụm từ, chủ yếu bằng tiếng Trung giản thể, nhưng cũng có một phần nhỏ là tiếng Uyghur, Tây Tạng, tiếng Trung phồn thể, và tiếng Anh.

Các từ này bao gồm nội dung khiêu dâm, cũng như một số lượng lớn nội dung chính trị hoặc tôn giáo, và các từ liên quan đến ĐCSTQ và các nhà lãnh đạo của họ, Pháp Luân Công, sự kiện Thiên An Môn ngày 4/6/1989, kinh Koran, Đạt-lại Lạt-ma và người Duy Ngô Nhĩ tại Tân Cương.

Ví dụ: “Thiên An Môn” hoặc “ĐCSTQ tà ác” (Chinese Communist Party evil), “nội chiến Giang Trạch Dân – Hồ Cẩm Đào”, “Pháp Luân Đại Pháp hảo”…, cũng bao gồm tên của lãnh đạo ĐCSTQ “Tập Cận Bình”, và một số cơ quan như Quốc vụ viện, Cục Sở hữu trí tuệ của ĐCSTQ…

Citizen Lab cũng phát hiện thấy mật mã phần mềm có khả năng kiểm duyệt danh sách các từ nhạy cảm.

Danh sách “từ nhạy cảm” này hiện không hoạt động và không chặn bất kỳ liên lạc nào. Nhưng nhà nghiên cứu Jeffrey Knockel nói, “Kích hoạt chức năng kiểm duyệt của danh sách này là một chuyện đơn giản”.

Theo chính sách quy định từ “My 2022”, trong các trường hợp liên quan đến “vấn đề an ninh quốc gia và điều tra tội phạm” thì không loại trừ chia sẻ thông tin cá nhân mà không cần sự đồng ý của người dùng.

Hiện nay các vận động viên đến từ Mỹ, Vương quốc Anh, Canada, Úc, Bỉ… luôn giữ các thiết bị điện tử cá nhân của họ ở nhà để đề phòng gián điệp ĐCSTQ đánh cắp bí mật. Chuyên gia Jeffrey Knockel kiến nghị nếu người tham gia dùng phần mềm này thì tốt nhất hãy kết nối với Internet qua một mạng riêng ảo (VPN).

Hồi tháng 12/2021, Citizen Lab đã thông báo cho Ủy ban tổ chức Olympic Bắc Kinh về vi phạm an ninh nhưng vẫn chưa nhận được phản hồi. Báo cáo cũng cho biết rằng vấn đề bảo mật của “My 2022” không chỉ vi phạm các chính sách liên quan của Google và Apple, mà còn vi phạm luật bảo vệ quyền riêng tư của chính ĐCSTQ.

Loạt quốc gia cảnh báo về an toàn thiết bị điện tử cá nhân tại Olympic Bắc Kinh

Phái đoàn Hoa Kỳ và một số đoàn Olympic khác đã khuyên các vận động viên nên để điện thoại di động cá nhân và máy tính, v.v. ở nhà, và sử dụng điện thoại “dùng một lần” cho Olympic Mùa đông Bắc Kinh 2022.

Hiệp hội Olympic Anh (BOA) cũng sẽ cung cấp điện thoại di động tạm thời cho các vận động viên và nhân viên của đội tuyển Anh tại Olympic Bắc Kinh.

Ủy ban Olympic Hà Lan đã đi một bước xa hơn khi yêu cầu các vận động viên của mình không được mang theo điện thoại di động, hoặc máy tính xách tay cá nhân, vì họ dự đoán rằng ĐCSTQ có thể giám sát các thiết bị điện tử trong suốt Thế vận hội. Tờ báo Hà Lan “De Volkskrant” (Báo Nhân dân) cho biết Ủy ban Olympic Hà Lan sẽ cung cấp điện thoại di động và máy tính xách tay cho các vận động viên và nhân viên hỗ trợ, chúng sẽ bị tiêu hủy sau khi họ trở về nước.

Trong khi đó, Ủy ban Olympic Canada cũng cảnh báo các vận động viên rằng Thế vận hội Bắc Kinh “tạo cơ hội đặc biệt cho tội phạm mạng; và kiến nghị [vận động viên] thực hiện các biện pháp phòng ngừa bổ sung trong Thế vận hội, gồm việc cân nhắc để các thiết bị cá nhân ở nhà, hạn chế thông tin cá nhân được lưu trữ trên các thiết bị mang đến Thế vận hội và giữ thói quen làm sạch Internet mọi lúc.”

Ban tổ chức Olympic Bắc Kinh đang đấu tranh với nhận định rằng dữ liệu của các vận động viên không an toàn ở Bắc Kinh. Nhưng ban tổ chức không hứa hẹn sẽ không thu thập dữ liệu cá nhân, mà chỉ tuyên bố rằng thông tin sẽ không bị lạm dụng.

Mộc Vệ (t/h)

Xem thêm: