1. कंटेंट पर जाएं
  2. मेन्यू पर जाएं
  3. डीडब्ल्यू की अन्य साइट देखें
लाइव टीवी
वीडियो
विशेष
जर्मनी में अल्पमत की सरकारअमेरिकी चुनाव 2024
तकनीकचीन

ओलिंपिक के मोबाइल ऐप से खिलाड़ियों की निजता खतरे में

इंगो मानटॉयफेल | ऑलिवर लीनो
१८ जनवरी २०२२

बीजिंग विंटर ओलिंपिक में जाने वाले हर शख्स को अपने स्वास्थ्य से जुड़ी जानकारी अधिकारियों को देनी है. हालांकि इसके लिए बने आधिकारिक स्मार्टफोन ऐप एमवाई 2022 की कई कमजोरियां सामने आई हैं जो इसकी हैकिंग को आसान बनाती हैं.

https://p.dw.com/p/45i8x
China Peking | Olympische Winterspiele
तस्वीर: Ng Han Guan/AP/picture alliance

बीजिंग ओलिंपिक विंटर गेम्स के पहले एथलीट अपनी आखिरी तैयारियों में जुटे हैं. इनमें चीन के स्वास्थ्य संबंधी दिशा निर्देशों और उपायों का ध्यान रखने के लिए "एमवाई 2022" स्मार्टफोन ऐप पर लगातार नजर रखना भी शामिल है. हालांकि इनक्रिप्शन के अपर्याप्त उपायों की वजह से यह ऐप ओलंपिक खिलाड़ियों, पत्रकारों और खेल अधिकारियों को हैकरों का शिकार बना सकता है. वो उनकी निजता में खलल डालने के साथ ही उनकी निगरानी के लिए भी इस्तेमाल हो सकता है. सिटिजन लैब से डीडब्ल्यू को खासतौर से मिली साइबर सिक्योरिटी रिपोर्ट से इसका पता चला है. इसके साथ ही आईटी फोरेंसिक विशेषज्ञों ने यह भी पता लगाया है कि ऐप में कुछ शब्दों को सेंसर करने की भी सूची है.

खेलों के दौरान डिजिटल सिक्योरिटी को लेकर उठ रही चिंताओं के बीच यह जानकारी सामने आई है. जर्मनी, ऑस्ट्रेलिया, यूके और अमेरिका ने अपने एथलीटों और राष्ट्रीय ओलंपिक कमेटियों से आग्रह किया है कि वो अपने पर्सनल फोन और लैपटॉप यहीं छोड़ कर जाएं और जासूसी के जोखिम को देखते हुए अपने साथ अलग उपकरण रखें.

डच ओलिंपिक कमेटी ने तो निगरानी के डर से बकायदा एथलीटों के फोन और लैपटॉप ले जाने पर रोक ही लगा दी है.

कांटेक्ट ट्रेसिंग और दूसरी चीजों के लिए एमवाई 2022

4 फरवरी को शुरू हो रहे विंटर गेम्स कोविड-19 की महामारी के बीच दूसरे ओलिंपिक गेम हैं. टोक्यो समर गेम्स की तरह ही इसके लिए भी खिलाड़ियों के स्वास्थ्य पर नजर रखना जरूरी है. इंटरनेशनल ओलिंपिक कमेटी यानी आईओसी के प्लेबुक के तहत खिलाड़ियों, कोच, रिपोर्टर और खेल अधिकारियों के साथ ही हजारों स्थानीय कर्मचारियों के लिए अपनी जानकारी एमवाई 2022 या फिर वेबसाइट पर डालना जरूरी किया गया है. चीन में विकसित यह ऐप सारे स्टाफ और मेहमानों के स्वास्थ्य पर नजर रखता है ताकि संभावित कोविड-19 के संक्रमण का पता चल सके.

Kanada Toronto | Ski-Sportlerinnen Justine Dufour-Lapointe und Chloe Dufour-Lapointe
तस्वीर: Evan Buhler/empics/picture alliance

पासपोर्ट और फ्लाइट की जानकारी भी इस ऐप में डाली जानी है. कोविड-19 के संक्रमण से जुड़े लक्षणों की जानकारी भी यहां डाली जानी है. जैसे कि क्या किसी को बुखार, सिरदर्द, सूखी खांसी, गले का दर्द या डायरिया तो नहीं है. जो लोग बाहर के देशों से आ रहे हैं, उन्हें चीन पहुंचने के 14 दिन पहले से ही सारी जानकारी ऐप पर डालना शुरू कर देना है.

बहुत सारे देश कांटेक्ट ट्रेसिंग ऐप का इस्तेमाल महामारी से लड़ने के लिए कर रहे हैं. एमवाई 2022 कांटेक्ट ट्रैसिंग के साथ ही दूसरी सेवाओं के लिए भी इस्तेमाल हो रहा है. यह इवेंट में जाने को नियंत्रित करता है,  खेल के मैदान और पर्यटन सेवाओं से जुड़ी जानकारियां दे कर विजिटर के लिए गाइड की भूमिका निभाता है. इसके साथ ही चैट फंक्शन, न्यूज फीड और फाइल ट्रांसफर की सेवा भी इस पर मौजूद है.

एप्पल के ऐप स्टोर पर जो इसका ब्यौरा दिया गया है उसके मुताबिक, "यह अलग यूजर ग्रुपों के लिए उनकी रुचि के मुताबिक सेवाएं देता है ताकि वो एक ही ऐप पर गेम से जुड़ा हर अनुभव ले सकें."

असुरक्षित डाटा ट्रांसमिशन

टोरंटो यूनिवर्सिटी के मंक स्कूल ऑफ ग्लोबल अफेयर्स में सिटिजन लैब डिजिटल सिक्योरिटी पर रिसर्च करती है. इसी लैब ने पेगासस स्पाइवेयर की सच्चाई भी दुनिया के सामने रखी थी. सिटिजन लैब ने ऐप का परीक्षण किया है और पता लगाया है कि यह इलेक्ट्रॉनिक चोरी के लिहाज से कमजोर है.

इस ऐप के एसएसएल सर्टिफिकेट की पुष्टि नहीं हुई है. यही सर्टिफिकेट यह तय करता है कि डाटा का लेन देन केवल भरोसेमंद उपकरणों और सर्वर के बीच ही हो. इसका मतलब है कि इनक्रिप्शन के लिहाज से यह ऐप गंभीर रूप से कमजोर है. इसके नतीजे में ऐप के जरिए किसी संदिग्ध होस्ट के साथ जोड़ कर इसकी सूचनाओं तक पहुंचा जा सकता है और यहां तक कि ऐप में संदिग्ध या दुर्भावना वाली सूचनाएं भी डाली जा सकती हैं.

China Peking | Logo der Olympischen Spiele
तस्वीर: Koki Kataoka/AP/picture alliance

सिटिजन लैब के रिसर्चर जेफरी क्नॉकेल के मुताबिक उन्होंने  ऐप की कमजोरी को ना सिर्फ स्वास्थ्य की जानकारियों में बल्कि ऐप की दूसरी प्रमुख सेवाओं में भी देखा है. इनमें ऐप की वॉयस ऑडियो भेजने और फाइल अटैचमेंट को प्रॉसेस करने वाली सेवाएं भी शामिल हैं. 

विशेषज्ञों का कहना है कि कुछ सेवाओं के लिए डाटा ट्रैफिक का इनक्रिप्शन एकदम से नहीं है. इसका मतलब है कि ऐप के अपने चैट सर्विस के मेटाडाटा को भी हैकर पढ़ सकते हैं. क्नॉकेल ने रिपोर्ट में कहा है, "हमारी खोज यह साफ कर देती है कि एमवाई 22 के सुरक्षा उपाय पूरी तरह से अपर्याप्त हैं  और यह संवेदनशील जानकारियों को अनाधिकृत लोगों तक पहुंचने से नहीं रोक सकते."

सेंसरशिप से उठे सवाल

सिटिजन लैब के रिसर्चरों ने ऐप में एक टेक्स्ट फाइल भी देखी है जिसका नाम है "इललीगलवर्ड्स.टीएक्सटी" इसमें 2,442 कीवर्ड्स और फ्रेज हैं. मुख्य रूप से ये सरल चाइनीज भाषा के शब्द हैं जिनका इस्तेमाल चीन में आमतौर पर होता है लेकिन इसमें एक हिस्सा उइगुर, तिब्बती, पारंपरिक चाइनीज और अंग्रेजी शब्दों का भी है.

इन शब्दों में ज्यादातर अपशब्द हैं लेकिन इसके साथ ही कुछ ऐसे शब्द भी हैं जो साम्यवादी चीन में राजनीतिक रूप से वर्जित है और जिन पर सरकार का प्रतिबंध है. इनमें चीन की कम्युनिस्ट पार्टी और उसके नेताओं की आलोचना के साथ ही थियानमेन प्रदर्शन, दलाई लामा और शिनजियांग प्रांत के उइगुर मुसलमान अल्पसंख्यकों से जुड़ी बाते हैं. उदाहरण के लिए सिटिजन लैब ने जिन शब्दों की समीक्षा की है उनमें उइगुर भाषा में "पवित्र कुरान" भी है.

सिटिजन लैब के पास ऐप की सिक्योरिटी का विश्लेषण करने की खास महारत है. लैब का कहना है कि ऐप के मौजूदा संस्करण में इन कीवर्ड का इस्तेमाल सेंसरशिप के लिए सक्रिय रूप से होने के संकेत नहीं मिले हैं. फिलहाल यह भी साफ नहीं है कि इन कीवर्डों को इस ऐप में क्यों डाला गया. हालांकि क्नॉकेल का कहना है, "भले ही इललीगलवर्ड्स.टीएक्सटी का इस्तेमाल फिलहाल नहीं हो रहा हो लेकिन एमवाई 2022 में पहले से ही ऐसे कोड फंक्शन हैं जो इस फाइल को पढ़ने और सेंसरशिप के लिए इस्तेमाल कर सकते हैं, ऐसे में इस लिस्ट की सेंसरशिप चालू करना चुटकियों का काम है."

China I 2022 Beijing Winter Olympic I Maskottchen
तस्वीर: Guo Junfeng/Costfoto/Costfoto/picture alliance

इस ऐप में रिपोर्टिंग फंक्शन भी मौजूद है जो यूजर को किसी चैट मैसेज के संदिग्ध या आपत्तिजनक लगने पर दूसरे यूजर की रिपोर्ट करने की सहूलियत देता है. रिपोर्ट करने के लिए जो संभावित कारण दिए गए हैं उनमें एक है, "राजनीतिक रूप से संवेदनशील सामग्री." चीन में इस विकल्प का इस्तेमाल सेंसर की गई चीजों के लिए खासतौर से होता है.

बीजिंग ऑर्गनाइजिंग कमेटी की तरफ से कोई जवाब नहीं

सिटिजन लैब का कहना है कि उसने दिसंबर 2021 के शुरुआत में ही बीजिंग ऑर्गनाइजिंग कमेटी को गोपनीयता के साथ ओलिंपिक 2022 के लिए ये सारी जानकारी दे दी थी. सुरक्षा से जुड़ी कमजोरियों की रिपोर्टिंग के लिए यह जरूरी होता है. सिटिजन लैब ने इस रिपोर्ट को सार्वजनिक करने से पहले कमेटी को इसे हल करने के लिए 45 दिन का समय दिया था. क्नॉकेल ने डीडब्ल्यू को बताया, "ऑर्गनाइजिंग कमेटी ने हमारे इस पर्दाफाश का कोई जवाब नहीं दिया."

इसी बीच ऐप में अपडेट भी कर उसे एप्पल और गूगल के स्टोर पर पब्लिश कर दिया गया. सिटिजन लैब के साइबर सिक्योरिटी विशेषज्ञों ने जब इसकी 17 जनवरी 2022 को जांच की तो पता चला कि जिन बातों को लेकर चिंता जताई गई थी उसके संदर्भ में कोई बदलाव नहीं हुआ है.

कानून का उल्लंघन

इंटरनेशनल ओलिंपिक कमेटी ने एथलीटों और टीम के अधिकारियों के लिए बने ओलिंपिक प्लेबुक में कहा है कि एमवाई 2022 ऐप अंतरराष्ट्रीय मानकों और चीन के कानून के मुताबिक है. अपनी खोज के आधार पर सिटिजन लैब का कहना है कि निजी जानकारियों का असुरक्षित प्रसार "चीन के निजता कानूनों का सीधा उल्लंघन हो सकता है." चीन के डाटा प्रोटेक्शन कानून के तहत किसी व्यक्ति के स्वास्थ्य से जुड़ी जानकारियों को डिजिटल रूप से रखा जाता है और इसे सिर्फ इनक्रिप्शन के साथ ही प्रसारित किया जा सकता है.

सिटिजन लैब की खोज ने एप्पल और गूगल पर भी सवाल उठाए हैं. क्नॉकेल ने बताया, "गूगल और एप्पल दोनों की नीतिया संवेदनशील जानकारियों को बिना इनक्रिप्शन के प्रसारित करने से मना करती हैं. ऐसे में एप्पल और गूगल को यह तय करना होगा कि क्या ऐप की कमजोरियां इसे स्टोर से हटाए जाने के काबिल बनाती हैं."

डीडब्ल्यू ने गूगल और एप्पल से इस मामले में प्रतिक्रिया मांगी है. इस बीच बीजिंग ऑर्गनाइजिंग कमेटी अपने ऐप के साथ खड़ी है. उनका कहना है कि गूगल, एप्पल और सैमसंग के परीक्षणों को ऐप ने पास किया है. कमेटी ने सोमवार को शिन्हुआ न्यूज एजेंसी से कहा, "हमने निजी जानकारियों के इनक्रिप्शन जैसे उपाय किए हैं ताकि निजता की रक्षा हो सके."