Neinstalujte oficiální čínskou aplikaci olympiády, varuje kyberúřad české sportovce

Lukáš Valášek Lukáš Valášek
27. 1. 2022 15:43
Aktuálně.cz už upozornilo, že na olympiádě v Pekingu hrozí českým sportovcům špionáž. Český olympijský výbor ale oznámil, že Číňanům důvěřuje. Teď vydaly doporučení pro sportovce Národní úřad pro kybernetickou bezpečnost a Vojenské zpravodajství. V den, kdy sportovci odlétají. Neměli by například instalovat oficiální aplikaci her, jejíž použití je ale podle čínského manuálu povinné.
Oslavy v Pekingu k předání olympijského ohně.
Oslavy v Pekingu k předání olympijského ohně. | Foto: Reuters

Česko se ve čtvrtek zařadilo mezi západní země, které své sportovce i návštěvníky olympiády v Pekingu varovaly před hrozbou, že v komunistické Číně přijdou o svá osobní data. Zahraničí experti v posledních týdnech opakovaně upozorňují, že akci provází výrazné riziko čínské špionáže zaměřené na západní prominenty - sportovce, politiky, novináře.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) zveřejnil týden před startem sportovní akce na svém webu manuál, který vypracoval společně s Vojenským zpravodajstvím. A to v den, kdy většina českých sportovců do Pekingu odlétá. Právě vojáci mají na starosti kybernetickou obranu Česka.

"Doporučení jsme původně připravovali spolu s Vojenským zpravodajstvím pouze pro české olympioniky, na základě značného zájmu veřejnosti jsme se ale rozhodli materiál zveřejnit i pro ostatní zájemce a cestovatele. Materiál je určený především těm, kteří cestují do zemí, ve kterých je ochrana údajů uživatelů na nízké úrovni," říká ředitel NÚKIB Karel Řehka.

Když se Aktuálně.cz ptalo kyberúřadu před týdnem, zda záležitost řeší, přišla ale jiná odpověď - nemá to v gesci. A Český olympijský výbor, který cestu delegace 113 sportovců s doprovodem zastřešuje, uvedl, že má v důvěru v organizátory, že internetové připojení v olympijských vesnicích a na sportovištích bude bezpečné. A vyloučil, že by sportovce nějak varoval před riziky, která je v Číně mohou potkat.

Nyní Český olympijský výbor slíbil, že materiál s doporučeními vypracovaný českými bezpečnostními složkami mezi sportovce rozšíří. Obdržel ho dnes. Opatření jsou ale nezávazná. "Na základě informací, které se objevily minulý týden, jsme požádali o součinnost Vojenské zpravodajství a obrátil se na nás i NÚKIB," vysvětlila změnu přístupu mluvčí olympijského výboru Barbora Žehanová.

Čínský organizační výbor her označuje obavy západních zemí za nesmysl. "Jsou zcela nepodložené a zcela zbytečné," uvedl. Čína přijala několik zákonů o kybernetické bezpečnosti, které podle něj zajišťují ochranu soukromí a zabezpečení dat pro její občany i pro zahraniční návštěvníky.

Bez aplikace se na hry nikdo nedostane

Čeští kyberexperti ale rizika vidí. Materiál zdůrazňuje i nebezpečí, které se skrývá ve stahování neznámých či zranitelných aplikací do mobilů. Mezi problematické přitom řadí i oficiální aplikaci olympijských her v Pekingu nazvanou MY 2022. 

Její použití ale oficiální manuál her uvádí pro sportovce a členy olympijských výprav jako povinné. Jejím prostřednictvím mají reportovat svůj zdravotní stav jako součást opatření proti covidu. Kanadská organizace Citizen Lab, která spadá pod Torontskou univerzitu, v ní ale objevila vážné nedostatky.

Varování bezpečnostních složek přichází až v den, kdy většina olympioniků do Pekingu odlétá. A podle manuálu her mají mít aplikaci na mobilech už 14 dnů před odletem.

"Kdybych tu aplikaci neměl, tak tady nejsem. Na ní se vyplňuje třeba i zdravotní stav," konstatoval šéf české olympijské mise Martin Doktor, který už je v Pekingu. Podle něj se bez zmíněné aplikace do dějiště her nikdo ze sportovců, členů realizačních týmů, zástupců médií a dalších zainteresovaných osob nedostane.

Za kritiku porušování lidských práv hrozí trest

Mezinárodní olympijský výbor v prohlášení uvedl, že aplikaci za problematickou nepovažuje a že je důležitá pro proticovidová opatření. Uživatelé ji podle něj mohou nastavit tak, aby přístup k jejich osobním datům neměla. Zároveň v rozporu s oficiálním manuálem her prohlásil, že aplikace není povinná a zdravotní stav mohou sportovci oznamovat prostřednictvím webové stránky.

Aplikaci vytvořila čínská státní firma, účastníci her ji mají používat i ke vzájemné komunikaci. Šifrovaný přenos dat lze ale podle expertů obejít a obsah zpráv získat. Kanadští analytici na to upozornili pořadatele v prosinci.

Aplikace, jejíž instalace je pro olympioniky povinná.
Aplikace, jejíž instalace je pro olympioniky povinná. | Foto: Aktuálně.cz

Analytici našli v aplikaci seznam cenzurovaných výrazů. Celkem jde o 2422 slov nebo frází, jako "zlo Komunistické strany Číny" nebo náměstí Nebeského klidu, čínsky Tchien-an-men. Jde o místo v Pekingu, kde armáda v roce 1989 násilně potlačila lidové protirežimní protesty. Na základě tohoto seznamu dokáže aplikace cenzurovat komunikaci svých uživatelů, v nynější verzi ale tato funkce není podle expertů aktivní. Změnit to však může její aktualizace.

Aplikace obsahuje i funkci pro nahlášení politicky závadného obsahu. Není přitom jasné, kam bude taková data odesílat. Člen organizačního výboru her uvedl, že sportovci mohou za prohlášení porušující čínské zákony čelit trestům. Například za kritiku porušování lidských práv v Číně.

Lidskoprávní organizace Human Rights Watch varovala, aby si sportovci případné protesty nechali mimo území Číny. Politické projevy na hrách zakazují i zásady Mezinárodního olympijského výboru.

Nizozemci použijí jednorázové mobily, pak je zničí

Výpravy řady zemí chystají do Pekingu bezpečnostní opatření. Australané se rozhodli na místě spustit vlastní wi-fi sítě, které budou mít plně pod kontrolou. Belgie svým sportovcům doporučuje nebrat do Číny osobní elektronická zařízení. Nizozemci své výpravě dokonce rozdají jednorázové notebooky a mobily, které po hrách zničí, protože se obávají špionáže. Ke stejnému kroku se rozhodla i Velká Británie.

Kanadský olympijský výbor upozornil, že hry "představují jedinečnou příležitost pro kybernetickou kriminalitu". Doporučil nechat vlastní mobily doma a na zařízeních v Číně mít jen minimum osobních údajů. Přímo před nakažením telefonů škodlivým kódem varovaly své sportovce Spojené státy. Výpravě radí použít jednorázová zařízení a zbavit se jich hned po odletu z Číny. Jinak hrozí, že je tamní režim bude dále sledovat.

Před pokusy Číny shromáždit co nejvíce osobních dat západních prominentů dlouhodobě varuje i šéf Bezpečnostní informační služby Michal Koudelka. Data Číňané často sbírají pro budoucí využití - třeba pro lepší cílení zpravodajských operací. 

Aktuálně.cz v roce 2020 popsalo uniklý fragment databáze jednoho z čínských armádních dodavatelů, který se pokoušel shromáždit a propojit volně dostupná internetová data. Čínské armádě i tajným službám nabízel profily prominentů k "vedení hybridní války a rozvratu Západu". Data měl například o synovi předsedy Ústavního soudu Pavla Rychetského, šéfovi ČEZ Danielu Benešovi, českých politicích, diplomatech či jejich dětech. 

"Je to další důkaz, že čínské zpravodajské služby se snaží získat jakékoliv informace a jakoukoliv formou," komentoval tehdy uniklá data Koudelka.

Co doporučují na cestu na olympiádu kyberexperti státu

VYUŽÍVEJTE BĚHEM CESTY "ČISTÁ" ZAŘÍZENÍ

Pokud je to možné, vezměte si s sebou "čistá" zařízení určená pouze pro konkrétní cestu, která neobsahují žádná vaše osobní data a důležité uživatelské účty. Může jít např. o starý telefon či tablet, který již aktivně nepoužíváte. Pokud takové náhradní zařízení nemáte k dispozici, věnujte zvýšenou pozornost dalším doporučením. Po návratu zařízení resetujte do továrního nastavení.

DŮKLADNĚ SVÁ ZAŘÍZENÍ ZABEZPEČTE

Zabezpečte zařízení novým a unikátním silným heslem/pinem, případně využijte zabezpečení otiskem prstu, nebo skenem obličeje. U důležitých služeb (e-mail, komunikační aplikace) nastavte nová silná hesla. Hesla nemějte nikde napsaná a uložená v zařízení. Kde to půjde, důrazně doporučujeme využít dvou faktorové autentizace (heslo + například kód z SMS).

AKTUALIZUJTE OPERAČNÍ SYSTÉM A APLIKACE

K předejití zneužívání zranitelností u starších verzí operačního systému a aplikací doporučujeme jejich aktualizaci na nejnovější verzi.

ODSTRAŇTE ZE ZAŘÍZENÍ CITLIVÁ DATA

Pro případ napadení vašeho zařízení preventivně odstraňte veškerá citlivá data, informace, kontakty, fotografie a minimalizujte počet aplikací. U těch, které jsou opravdu potřeba zvažte, jaká mají nastavená oprávnění (kamera, mikrofon, galerie fotografií).

VYVARUJTE SE STAHOVÁNÍ NEZNÁMÝCH ČI ZRANITELNÝCH APLIKACÍ

Pokud je nutné neznámou či zranitelnou aplikaci používat, využívejte ji jen v nejnutnějším rozsahu a chovejte se tak, jako by veškerá komunikace a vaše data mohla být odposlouchávána či ukradena. Případně zvažte využívání webové verze aplikace. Rovněž zvažte oprávnění, která aplikacím udělujete. Důrazně doporučujeme instalovat aplikace pouze z oficiálních zdrojů (Google Play, Apple AppStore atd.). Aktuálně zranitelnou aplikací je mj. oficiální aplikace olympijských her v Pekingu, MY2022.

NEPŘIPOJUJTE SE NA VEŘEJNÉ WIFI SÍTĚ

Veřejné wi-fi sítě (v kavárnách, restauracích, MHD, hotelích) bez hesel, či chráněné veřejně dostupnými hesly, jsou velmi slabě zabezpečené a mohou být využity k monitorování připojených uživatelů a případně i napadení jejich zařízení. U masových akcí, jako jsou olympijské hry, je takové riziko vysoké.

PRO PŘIPOJENÍ K INTERNETU VYUŽÍVEJTE DATOVÝ ROAMING A PLACENOU VPN

K minimalizaci případného monitorování vašich aktivit na internetu během cesty doporučujeme používat mobilní data v kombinaci se službou VPN, která dále šifruje a anonymizuje váš pohyb na síti. Doporučujeme placené VPN poskytovatele, jelikož řešení poskytovaná zdarma nemusí být spolehlivá a bezpečná. V některých státech VPN ovšem nemusí vždy fungovat.

KE KOMUNIKACI VYUŽÍVEJTE APLIKACE S ŠIFROVÁNÍM

Pro komunikaci využívejte aplikace s tzv. "end to end" šifrováním - v ideálním případě aplikace Signal nebo Threema, ale lze použít i WhatsApp, Apple Face Time a další. Mějte na paměti, že v některých aplikacích je nutné tuto funkci zvlášť aktivovat. Doporučujeme minimalizovat běžné volání a SMS.

NENECHÁVEJTE ZAŘÍZENÍ BEZ DOZORU A NEZAMČENÁ

Mějte neustále povědomí o tom, kde se nachází vaše zařízení, a kdo k němu má přístup. Virus se do zařízení může dostat například prostřednictvím USB ve chvilce nepozornosti, nebo i přílišnou zvědavostí (například nalezené USB). Bezpečné nemusí být ani hotelové pokoje a trezory v pokojích, jelikož do nich mají zpravidla přístup zaměstnanci hotelů. Jedním z řešení může být použití bezpečnostních obálek s pečetí.

 

Právě se děje

Další zprávy