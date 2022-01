Tietoturva- ja vakoiluhuolet ovat nousseet suureksi puheenaiheeksi Pekingin olympialaisten kynnyksellä. Eikä ihme.

Toronton yliopiston alainen tutkijaryhmä löysi ”tuhoisaksi” kuvailemiaan haavoittuvuuksia olympialaisten virallisesta My 2022 -nimisestä sovelluksesta.

Sovelluksen käyttäminen on lähestulkoon pakollista kaikille Pekingin olympiakuplaan matkustaville, kuten urheilijoille, valmentajille ja muille taustajoukoille sekä toimittajille.

Sovellukseen täytyy syöttää arkaluonteisia tietoja, kuten terveystietoja, sijainti- ja matkustustietoja, passin tietoja, sekä koronarokotus ja -testitietoja. Kansainvälisen olympiakomitean mukaan tiedot on mahdollista syöttää myös selaimella, mutta se voi aiheuttaa käytännön haasteita esimerkiksi lentokentällä.

Esimerkiksi medialle jaetuissa ohjeissa neuvotaan nimenomaan asentamaan sovellus.

– Pahin skenaario on, että joku sieppaa kaiken ja tallentaa passitiedot sekä lääketieteelliset tiedot, sanoi tutkija Jeffrey Knockel The Canadian Pressin mukaan.

Sovellukseen täytyy täyttää terveystietoja.

F-Securen vanhempi johtava tutkija Jarno Niemelä sanoo, että sovellus kannattaisi asentaa ainoastaan niin kutsuttuun burner-puhelimeen eli laitteeseen, jonka tuhoaa reissun jälkeen.

– Sitä ei kannata liikaa miettiä, onko sovellus turvallinen vai ei. Olettaa vain, että ei ole ja toimii sen mukaisesti, hän sanoo.

Kiinaan ja muihinkin maihin matkustavia Niemelä varoittaa myös vakoojien uudesta kikasta, joka on herättänyt huolta tietoturvatutkijoiden keskuudessa.

– Hyvin suosituksi tullut kikka on, että vaihdetaan hotellihuoneessa oleva kaapeli, esimerkiksi yleinen Applen latauskaapeli, modifioituun versioon kiinnostavan henkilön ollessa esimerkiksi aamupalalla, Niemelä sanoo.

– Siksi reissun jälkeen kannattaa heittää yleisimmät kaapelit pois tai hankkia matkaa varten kaapeli, jota ei käytä enää matkan jälkeen.

Niemelän mukaan USB-kaapelin avulla voidaan hyökätä tietokoneen ja tietyin rajoituksin myös puhelimen kimppuun.

– Tällainen uhka kohdistuu erityisesti yritysjohtajiin ja poliittisesti vaikutusvaltaisiin henkilöihin. Tiedustelupalvelut pystyvät tuottamaan omia versioitaan yleisimmistä kaapeleista. Vaikka se näyttää omalta kaapelilta, todellisuudessa se voi olla jotain ihan muuta.

Niemelän kuvailemia modifioituja kaapeleita myydään myös internetissä ”kuluttajamarkkinoilla”, mutta tiedustelupalveluilla voi olla käytössään kyvykkyydeltään parempia tuotteita.

Tiedusteluosastot voivat muokata yleisimmästä kaapeleista omiin tarkoitusperiinsä sopivammat versiot, jotka näyttävät täysin alkuperäisiltä.

Niemelän kertoma kaapeliuhka on siis helpohkosti torjuttavissa, mutta olympialaisten sovellus on kinkkisempi tapaus.

Kaikkien Pekingin olympiakuplaan matkustavien täytyy täyttää jo 14 vuorokauden ajan ennen matkaa terveysseurantaa, jossa raportoidaan päivittäin erilaisista oireista sekä ruumiin lämpötilasta.

My 2022 -sovelluksen on kanadalaisen Citizen Lab -tutkijaryhmän mukaan kehittänyt Kiinan valtion omistama yhtiö Beijing Financial Holdings Group.

Kanadalaistutkija Knockelin mukaan on epäselvää, mille kaikille tahoille sovellus jakaa arkaluonteisia tietoja.

KOK ja Pekingin olympialaisten virkailijat ovat kiistäneet Citizen Labin löydökset tietoturvauhista ja sanoneet, että sovelluksen datankäsittely ja suojaustoimet ovat kansainvälisien standardien tasolla ja kunnioittavat Kiinan lakia.

Päänäkymä My 2022 -sovelluksesta. Sovellukseen täytyy syöttää terveys- ja lentotietoja. Sovellus myös tarjoaa kisauutisia.

Vakoilupelon ja tietoturvauhkien takia usean maan urheilijoita on kehotettu jättämään omat laitteet kotiin olympiareissulta.

Suomen olympiakomitea ei ole antanut tällaista suositusta, mutta olympiajoukkueelle on jaettu yleiset tietoturvaohjeet.

– Sanoisin, että suomalainen tai eurooppalainen urheilija ei ole kiinnostava, jollei urheilijalla ole tapana tehdä poliittisia kannanottoja, F-Securen Niemelä sanoo mutta lisää, että burner-laitteiden ottaminen Pekingiin on hänen mielestään tarpeellinen varotoimi.

– On hyvä muistaa, että tiettyjen maiden tiedusteluorganisaatiot ovat totaalisen yliresursoituja. Monesti seurattavaksi päätyy vain sen takia, että joku tiedustelutyöntekijä haluaa pitää pomonsa tyytyväisenä ja raportoida, että näin ja näin montaa tapausta pidetään silmällä.

Niemelän mukaan Kiinan tapauksessa henkilö voi olla vakoiluosaston näkövinkkelistä kiinnostava kolmesta syystä:

– Poliittinen ulottuvuus, mediaulottuvuus ja bisnesulottuvuus. On hyvä tietää kuka on ja mitä tekee sekä suhteuttaa turvatoimet sen mukaan. Jottei ole liian vainoharhainen muttei myöskään kulje suojaamattomana, hän sanoo.