Các chuyên gia cảnh báo ứng dụng hội nghị thượng đỉnh COP27 của Ai Cập là vũ khí mạng

Các cố vấn an ninh phương Tây đang cảnh báo các đại biểu tại hội nghị thượng đỉnh về khí hậu COP27 không tải xuống ứng dụng điện thoại thông minh chính thức của chính phủ Ai Cập, trong bối cảnh lo ngại ứng dụng này có thể được sử dụng để hack email, tin nhắn và thậm chí cả các cuộc trò chuyện bằng giọng nói của họ

Các nhà hoạch định chính sách từ Đức, Pháp và Canada nằm trong số những người đã tải xuống ứng dụng này trước ngày 8 tháng 11, theo hai quan chức an ninh phương Tây riêng biệt đã thông báo về các cuộc thảo luận trong các phái đoàn này tại U. N. hội nghị thượng đỉnh về khí hậu

Các chính phủ phương Tây khác đã khuyên các quan chức không nên tải xuống ứng dụng này, một quan chức khác từ chính phủ châu Âu cho biết. Tất cả các quan chức đã phát biểu với điều kiện giấu tên để thảo luận về các cuộc thảo luận của chính phủ quốc tế

Lỗ hổng tiềm ẩn từ ứng dụng Android, đã được tải xuống hàng nghìn lần và cung cấp cổng cho người tham gia tại , đã được xác nhận riêng bởi bốn chuyên gia an ninh mạng đã xem xét ứng dụng kỹ thuật số cho POLITICO

Ứng dụng đang được quảng bá như một công cụ giúp người tham dự điều hướng sự kiện. Nhưng nó có nguy cơ cho phép chính phủ Ai Cập đọc email và tin nhắn của người dùng. Theo đánh giá kỹ thuật của POLITICO về ứng dụng và hai trong số các chuyên gia bên ngoài, ngay cả các tin nhắn được chia sẻ qua các dịch vụ được mã hóa như WhatsApp cũng dễ bị tấn công.

Ứng dụng này cũng cung cấp cho Bộ Truyền thông và Công nghệ thông tin của Ai Cập, nơi đã tạo ra nó, cái gọi là các đặc quyền cửa hậu khác hoặc khả năng quét thiết bị của mọi người

Trên điện thoại thông minh chạy phần mềm Android của Google, nó có quyền nghe cuộc trò chuyện của người dùng thông qua ứng dụng, ngay cả khi thiết bị ở chế độ ngủ, theo ba chuyên gia và phân tích riêng của POLITICO. Theo hai nhà phân tích, nó cũng có thể theo dõi vị trí của mọi người thông qua công nghệ GPS và Wi-Fi tích hợp trong điện thoại thông minh.

Marwa Fatafta, lãnh đạo quyền kỹ thuật số ở Trung Đông và Bắc Phi của Access Now, một tổ chức phi lợi nhuận, cho biết ứng dụng này chẳng khác gì "một công cụ giám sát có thể được chính quyền Ai Cập vũ khí hóa để theo dõi các nhà hoạt động, đại biểu chính phủ và bất kỳ ai tham dự COP27".

"Ứng dụng này là một vũ khí mạng", một chuyên gia bảo mật cho biết sau khi xem xét nó, người đã phát biểu với điều kiện giấu tên để bảo vệ các đồng nghiệp tham dự COP

“Đã có một đánh giá an ninh mạng được thực hiện. Và nó đã bác bỏ hoàn toàn điều đó,” Wael Aboulmagd, Đại diện đặc biệt của Ai Cập tại Chủ tịch COP27, nói với các phóng viên hôm thứ Năm, liên quan đến mối đe dọa an ninh của ứng dụng

Google cho biết họ đã xem xét ứng dụng và không tìm thấy bất kỳ vi phạm nào đối với chính sách ứng dụng của mình

Rủi ro bảo mật tiềm ẩn xuất hiện khi hàng nghìn quan chức cấp cao đổ về Sharm El-Sheikh, thị trấn nghỉ mát của Ai Cập, nơi cái gọi là mã QR, hoặc mã vạch hướng dẫn mọi người tải xuống ứng dụng điện thoại thông minh, được rải khắp thành phố

Những người tham gia tại COP27 bao gồm các nhà lãnh đạo toàn cầu như Tổng thống Pháp Emmanuel Macron, Thủ tướng Anh Rishi Sunak và U. S. Ngoại trưởng Antony Blinken, mặc dù các chính trị gia nổi tiếng như vậy không có khả năng tải xuống ứng dụng của chính phủ khác

Các chuyên gia đã nói chuyện với POLITICO cho biết phần lớn dữ liệu và quyền truy cập mà ứng dụng COP27 nhận được là khá chuẩn. Tuy nhiên, theo ba trong số các chuyên gia này, sự kết hợp giữa hồ sơ theo dõi về nhân quyền của chính phủ Ai Cập và những kiểu người sẽ tải xuống ứng dụng này là một nguyên nhân gây lo ngại.

Truy cập lạ và rộng rãi

Ba trong số các nhà nghiên cứu cho biết ứng dụng này gây ra rủi ro giám sát cho những người tải xuống do nó có quyền rộng rãi để xem xét thiết bị của mọi người, mặc dù mức độ rủi ro vẫn chưa rõ ràng

Elias Koivula, một nhà nghiên cứu tại WithSecure, một công ty an ninh mạng, đã xem xét ứng dụng Android cho POLITICO và cho biết ông không tìm thấy bằng chứng nào cho thấy email của mọi người đã bị đọc. Ông nói thêm, nhiều quyền được cấp cho ứng dụng hội nghị về biến đổi khí hậu cũng có những mục đích lành tính như giúp mọi người cập nhật thông tin du lịch mới nhất xung quanh hội nghị thượng đỉnh.

Nhưng Koivula cho biết các quyền khác được cấp cho ứng dụng có vẻ "kỳ lạ" và có khả năng được sử dụng để theo dõi chuyển động và liên lạc của mọi người. Cho đến nay, ông nói rằng ông không có bằng chứng cho thấy hoạt động như vậy đã diễn ra.  

Không phải tất cả các chuyên gia đều đồng ý về những rủi ro

Paul Shunk, một kỹ sư tình báo bảo mật tại công ty an ninh mạng Lookout, cho biết ông không tìm thấy bằng chứng nào cho thấy ứng dụng có quyền truy cập vào email, mô tả ý kiến ​​cho rằng nó có nguy cơ bị giám sát là "kỳ lạ". " Anh ấy tự tin rằng ứng dụng không được xây dựng như một phần mềm gián điệp thông thường, dội gáo nước lạnh vào những tuyên bố rằng ứng dụng hoạt động như một thiết bị nghe lén. Shunk cho biết nó không thể ghi âm thanh nếu nó đang chạy ở chế độ nền, điều này khiến nó "gần như hoàn toàn không phù hợp để theo dõi người dùng. "

Shunk cho biết, ứng dụng COP27 sử dụng theo dõi vị trí "rộng rãi", nhưng dường như cho các mục đích hợp pháp như lập kế hoạch tuyến đường cho những người tham dự hội nghị thượng đỉnh. Nó thiếu khả năng truy cập vị trí ở chế độ nền, dựa trên các quyền của Android, đây sẽ là thứ mà ứng dụng cần để theo dõi vị trí liên tục, ông nói thêm

Hai nhà phân tích an ninh mạng khác đã xem xét ứng dụng đã phát biểu với điều kiện giấu tên để bảo vệ công việc bảo mật đang diễn ra của họ và để bảo vệ các đồng nghiệp tham dự hội nghị về biến đổi khí hậu

"Hãy để tôi đặt nó theo cách này. Tôi sẽ không tải ứng dụng này xuống điện thoại của mình", một trong những chuyên gia đó cho biết. Hai nhà nghiên cứu này cũng cảnh báo rằng một khi ứng dụng đã được tải xuống thiết bị, sẽ rất khó, nếu không muốn nói là không thể loại bỏ khả năng truy cập dữ liệu nhạy cảm của mọi người — ngay cả sau khi ứng dụng đã bị xóa

POLITICO đã kiểm tra các rủi ro bảo mật tiềm ẩn của ứng dụng thông qua hai công cụ an ninh mạng mở và cả hai đều gây lo ngại về khả năng nghe cuộc trò chuyện của mọi người, theo dõi vị trí của họ và thay đổi cách ứng dụng hoạt động mà không cần xin phép

Cả Google và Apple đều phê duyệt ứng dụng xuất hiện trong các cửa hàng ứng dụng riêng của họ. Tất cả các nhà phân tích chỉ xem xét phiên bản Android của ứng dụng chứ không phải ứng dụng riêng biệt được tạo cho các thiết bị của Apple. Apple từ chối bình luận về ứng dụng riêng được tạo cho App Store của mình

Kỷ lục theo dõi của Ai Cập

Thêm vào mối lo ngại của các nhóm nhân quyền là thành tích theo dõi của chính phủ Ai Cập trong việc giám sát người dân của họ. Sau cái gọi là Mùa xuân Ả Rập, Cairo đã đàn áp những người bất đồng chính kiến ​​​​và sử dụng các quy tắc khẩn cấp địa phương để theo dõi hoạt động trực tuyến và ngoại tuyến của công dân, theo báo cáo của Privacy International, một tổ chức phi lợi nhuận

Là một phần trong thông báo về quyền riêng tư của ứng dụng dành cho điện thoại thông minh, chính phủ Ai Cập cho biết họ có quyền sử dụng thông tin do những người đã tải xuống ứng dụng cung cấp, bao gồm cả vị trí GPS, quyền truy cập máy ảnh, ảnh và chi tiết Wi-Fi

"Ứng dụng của chúng tôi có quyền truy cập vào tài khoản của khách hàng cho các mục đích kỹ thuật và quản trị cũng như vì lý do bảo mật", tuyên bố về quyền riêng tư cho biết

Tuy nhiên, đánh giá kỹ thuật của cả POLITICO và các chuyên gia bên ngoài của ứng dụng điện thoại thông minh COP27 đã phát hiện thêm các quyền mà mọi người đã vô tình cấp cho chính phủ Ai Cập mà không được công khai thông qua các tuyên bố công khai của họ.

Chúng bao gồm ứng dụng có quyền theo dõi những gì người tham dự đã làm trên các ứng dụng khác trên điện thoại của họ;

Fatafta, nhà vận động quyền kỹ thuật số cho biết: “Chính phủ Ai Cập không thể được giao phó việc quản lý dữ liệu cá nhân của mọi người do hồ sơ nhân quyền tồi tệ và sự coi thường quyền riêng tư một cách trắng trợn”.

Bài viết này đã được cập nhật để bao gồm phản hồi từ chính quyền Ai Cập

Bài viết này là một phần của POLITICO Pro

Giải pháp một cửa cho các chuyên gia chính sách kết hợp chiều sâu của báo chí POLITICO với sức mạnh của công nghệ