Gyakorlatilag kémappot kell telepítenie a telefonjára, ha a katari focivébére utazik
2022. október 29. – 13:57
Minden 18 év feletti személynek, aki a katari focivébére utazik, le kell töltenie két alkalmazást a telefonjára: az egyik az – elméletben – Covid-követő Ehteraz applikáció, a másik pedig az esemény hivatalos alkalmazása, a Hayya, amelyen a jegyeket lehet nyomon követni, és ingyenes metrózásra jogosít. A norvég közmédia utánajárt annak, mit csinálnak ezek az appok a telefonon, és enyhén szólva is aggályos dolgokat talált: a biztonsági elemzők szerint, akik áttekintették az adatvédelmi irányelveket, ezeket az alkalmazásokat letölteni nagyjából egyenértékű azzal, mintha önként kulcsot adna az ember a házához a katari hatóságoknak.
Az Ehteraznak gyakorlatilag teljes uralma lehet a telefon fölött: hozzáférést kér a telefonon lévő összes tartalom olvasásához, törléséhez vagy módosításához, valamint engedélyt a wifihez és Bluetoothhoz való csatlakozáshoz, más alkalmazások felülbírálásához, és képes azt is megakadályozni, hogy a telefont alvó üzemmódba tegyük. Ha ez még nem elég, az app számos egyéb funkcióhoz is hozzáférést kap az eszközön, például látja a pontos tartózkodási helyet, hívásokat kezdeményezhet közvetlenül a telefonról, illetve meg tudja akadályozni a képernyő lezárását.
A Hayya ennél egy fokkal szelídebb, de ez is lehetővé teszi az ember személyes adatainak megosztását szinte bármiféle korlátozás nélkül, és hozzáfér a telefon pontos helyéhez is. Ez is képes megakadályozni, hogy alvó módba tegyük a telefont, és rálát az eszköz hálózati kapcsolataira is.
„Amikor valaki letölti ezt a két alkalmazást, elfogadja a szerződésben foglalt feltételeket, amelyek nagyon megengedők. Az ember lényegében átadja a telefonjában lévő összes információt. Lehetővé teszi az alkalmazásokat irányító emberek számára, hogy elolvassanak és módosítsanak dolgokat a telefonon. Ezek az emberek lehetőséget kapnak arra is, hogy információkat kérjenek le más alkalmazásokból, ha van rá kapacitásuk. És mi úgy gondoljuk, hogy van” – mondta Øyvind Vasaasen, az NRK biztonsági főnöke.
Az NRK két független informatikai társaságot is megkért, hogy nézzék át az applikációkat, és mondják el a véleményüket. Tőlük is az Ehteraz kapott rosszabb értékelést, Martin Gravåk, a Bouvet szakértője szerint elég sok kárt lehet okozni ezekkel az információkkal, amiket az app begyűjthet: az alkalmazás nyomon követi például, merre jár a telefon tulajdonosa, és képes észlelni a közelben lévő mobiltelefonokat is. Így
könnyen összekapcsolhatók az információk, és az adatok birtokában bárki megtudhatja, ki kivel találkozik és kivel beszél.
Egy másik szakértő, a Mnemonicnak dolgozó Tor Erling Bjørstad letöltötte az alkalmazásokat, és elemezte, hogy mit lát az alkalmazáscsomagokban, ez alapján pedig nem gondolja, hogy azok veszélyesebbek lennének, mint bármelyik másik, gyakran használt applikáció. „Ugyanakkor adatokat dolgoznak fel, különösen a GPS-hez és a lokációhoz kapcsolódóan, itt nagy a visszaélés lehetősége. Bizonyos értelemben az embernek rá kell hagyatkoznia az alkalmazásokat fejlesztőkben vagy tulajdonosokban, és persze nem magától értetődő, hogy bárki különösebben szeretne megbízni a katari hatóságokban” – mondta.
A szakértő technikai elemzése nem talált arra utaló jeleket, hogy az eszközön lokálisan tárolt dolgokat valóban képesek lennének megváltoztatni, de arra azért figyelmeztet, hogy ennek egyik oka az lehet, hogy a technológiát még nem vezették be. Jogilag tehát nagyjából bármit megtehetnek az appok a telefonon, de technikailag egy részükre még nem képesek.
Egy, az NRK által megkérdezett, az Oslói Egyetem Jogi Karán dolgozó kutató szerint sok a probléma az applikációkkal, és „nagyon tolakodónak” minősíti azokat. Elmondta, hogy az ember nem járulhat válogathatja ki, mely részeit fogadja el a felhasználói szerződésnek, az egészet be kell pipálnia, hogy használni tudja az appokat. Az alkalmazásokon belül is korlátozott az engedélyek módosítása. A jogász nem engedné, hogy bárki munkához használt telefont vigyen magával a vébére.
Az NRK benyújtotta a FIFA-nak az alkalmazások biztonsági réseit érintő jelentést, a szervezet pedig azt mondta, hogy nem kíván nyilatkozni az üggyel kapcsolatban.