बीजिंग विंटर ओलिंपिक में जाने वाले हर शख्स को अपने स्वास्थ्य से जुड़ी जानकारी अधिकारियों को देनी है. हालांकि इसके लिए बने आधिकारिक स्मार्टफोन ऐप एमवाई 2022 की कई कमजोरियां सामने आई हैं जो इसकी हैकिंग को आसान बनाती हैं.

  डॉयचे वैले पर इंगो मानटॉयफेल की रिपोर्ट-

बीजिंग ओलिंपिक विंटर गेम्स के पहले एथलीट अपनी आखिरी तैयारियों में जुटे हैं. इनमें चीन के स्वास्थ्य संबंधी दिशा निर्देशों और उपायों का ध्यान रखने के लिए "एमवाई 2022" स्मार्टफोन ऐप पर लगातार नजर रखना भी शामिल है. हालांकि इनक्रिप्शन के अपर्याप्त उपायों की वजह से यह ऐप ओलंपिक खिलाड़ियों, पत्रकारों और खेल अधिकारियों को हैकरों का शिकार बना सकता है. वो उनकी निजता में खलल डालने के साथ ही उनकी निगरानी के लिए भी इस्तेमाल हो सकता है. सिटिजन लैब से डीडब्ल्यू को खासतौर से मिली साइबर सिक्योरिटी रिपोर्ट से इसका पता चला है. इसके साथ ही आईटी फोरेंसिक विशेषज्ञों ने यह भी पता लगाया है कि ऐप में कुछ शब्दों को सेंसर करने की भी सूची है.

खेलों के दौरान डिजिटल सिक्योरिटी को लेकर उठ रही चिंताओं के बीच यह जानकारी सामने आई है. जर्मनी, ऑस्ट्रेलिया, यूके और अमेरिका ने अपने एथलीटों और राष्ट्रीय ओलंपिक कमेटियों से आग्रह किया है कि वो अपने पर्सनल फोन और लैपटॉप यहीं छोड़ कर जाएं और जासूसी के जोखिम को देखते हुए अपने साथ अलग उपकरण रखें.

डच ओलिंपिक कमेटी ने तो निगरानी के डर से बकायदा एथलीटों के फोन और लैपटॉप ले जाने पर रोक ही लगा दी है.

कांटेक्ट ट्रेसिंग और दूसरी चीजों के लिए एमवाई 2022
4 फरवरी को शुरू हो रहे विंटर गेम्स कोविड-19 की महामारी के बीच दूसरे ओलिंपिक गेम हैं. टोक्यो समर गेम्स की तरह ही इसके लिए भी खिलाड़ियों के स्वास्थ्य पर नजर रखना जरूरी है. इंटरनेशनल ओलिंपिक कमेटी यानी आईओसी के प्लेबुक के तहत खिलाड़ियों, कोच, रिपोर्टर और खेल अधिकारियों के साथ ही हजारों स्थानीय कर्मचारियों के लिए अपनी जानकारी एमवाई 2022 या फिर वेबसाइट पर डालना जरूरी किया गया है. चीन में विकसित यह ऐप सारे स्टाफ और मेहमानों के स्वास्थ्य पर नजर रखता है ताकि संभावित कोविड-19 के संक्रमण का पता चल सके.

पासपोर्ट और फ्लाइट की जानकारी भी इस ऐप में डाली जानी है. कोविड-19 के संक्रमण से जुड़े लक्षणों की जानकारी भी यहां डाली जानी है. जैसे कि क्या किसी को बुखार, सिरदर्द, सूखी खांसी, गले का दर्द या डायरिया तो नहीं है. जो लोग बाहर के देशों से आ रहे हैं, उन्हें चीन पहुंचने के 14 दिन पहले से ही सारी जानकारी ऐप पर डालना शुरू कर देना है.

बहुत सारे देश कांटेक्ट ट्रेसिंग ऐप का इस्तेमाल महामारी से लड़ने के लिए कर रहे हैं. एमवाई 2022 कांटेक्ट ट्रैसिंग के साथ ही दूसरी सेवाओं के लिए भी इस्तेमाल हो रहा है. यह इवेंट में जाने को नियंत्रित करता है,  खेल के मैदान और पर्यटन सेवाओं से जुड़ी जानकारियां दे कर विजिटर के लिए गाइड की भूमिका निभाता है. इसके साथ ही चैट फंक्शन, न्यूज फीड और फाइल ट्रांसफर की सेवा भी इस पर मौजूद है.

एप्पल के ऐप स्टोर पर जो इसका ब्यौरा दिया गया है उसके मुताबिक, "यह अलग यूजर ग्रुपों के लिए उनकी रुचि के मुताबिक सेवाएं देता है ताकि वो एक ही ऐप पर गेम से जुड़ा हर अनुभव ले सकें."

असुरक्षित डाटा ट्रांसमिशन
टोरंटो यूनिवर्सिटी के मंक स्कूल ऑफ ग्लोबल अफेयर्स में सिटिजन लैब डिजिटल सिक्योरिटी पर रिसर्च करती है. इसी लैब ने पेगासस स्पाइवेयर की सच्चाई भी दुनिया के सामने रखी थी. सिटिजन लैब ने ऐप का परीक्षण किया है और पता लगाया है कि यह इलेक्ट्रॉनिक चोरी के लिहाज से कमजोर है.

इस ऐप के एसएसएल सर्टिफिकेट की पुष्टि नहीं हुई है. यही सर्टिफिकेट यह तय करता है कि डाटा का लेन देन केवल भरोसेमंद उपकरणों और सर्वर के बीच ही हो. इसका मतलब है कि इनक्रिप्शन के लिहाज से यह ऐप गंभीर रूप से कमजोर है. इसके नतीजे में ऐप के जरिए किसी संदिग्ध होस्ट के साथ जोड़ कर इसकी सूचनाओं तक पहुंचा जा सकता है और यहां तक कि ऐप में संदिग्ध या दुर्भावना वाली सूचनाएं भी डाली जा सकती हैं.

सिटिजन लैब के रिसर्चर जेफरी क्नॉकेल के मुताबिक उन्होंने  ऐप की कमजोरी को ना सिर्फ स्वास्थ्य की जानकारियों में बल्कि ऐप की दूसरी प्रमुख सेवाओं में भी देखा है. इनमें ऐप की वॉयस ऑडियो भेजने और फाइल अटैचमेंट को प्रॉसेस करने वाली सेवाएं भी शामिल हैं.

विशेषज्ञों का कहना है कि कुछ सेवाओं के लिए डाटा ट्रैफिक का इनक्रिप्शन एकदम से नहीं है. इसका मतलब है कि ऐप के अपने चैट सर्विस के मेटाडाटा को भी हैकर पढ़ सकते हैं. क्नॉकेल ने रिपोर्ट में कहा है, "हमारी खोज यह साफ कर देती है कि एमवाई 22 के सुरक्षा उपाय पूरी तरह से अपर्याप्त हैं  और यह संवेदनशील जानकारियों को अनाधिकृत लोगों तक पहुंचने से नहीं रोक सकते."

सेंसरशिप से उठे सवाल
सिटिजन लैब के रिसर्चरों ने ऐप में एक टेक्स्ट फाइल भी देखी है जिसका नाम है "इललीगलवर्ड्स.टीएक्सटी" इसमें 2,442 कीवर्ड्स और फ्रेज हैं. मुख्य रूप से ये सरल चाइनीज भाषा के शब्द हैं जिनका इस्तेमाल चीन में आमतौर पर होता है लेकिन इसमें एक हिस्सा उइगुर, तिब्बती, पारंपरिक चाइनीज और अंग्रेजी शब्दों का भी है.

इन शब्दों में ज्यादातर अपशब्द हैं लेकिन इसके साथ ही कुछ ऐसे शब्द भी हैं जो साम्यवादी चीन में राजनीतिक रूप से वर्जित है और जिन पर सरकार का प्रतिबंध है. इनमें चीन की कम्युनिस्ट पार्टी और उसके नेताओं की आलोचना के साथ ही थियानमेन प्रदर्शन, दलाई लामा और शिनजियांग प्रांत के उइगुर मुसलमान अल्पसंख्यकों से जुड़ी बाते हैं. उदाहरण के लिए सिटिजन लैब ने जिन शब्दों की समीक्षा की है उनमें उइगुर भाषा में "पवित्र कुरान" भी है.

सिटिजन लैब के पास ऐप की सिक्योरिटी का विश्लेषण करने की खास महारत है. लैब का कहना है कि ऐप के मौजूदा संस्करण में इन कीवर्ड का इस्तेमाल सेंसरशिप के लिए सक्रिय रूप से होने के संकेत नहीं मिले हैं. फिलहाल यह भी साफ नहीं है कि इन कीवर्डों को इस ऐप में क्यों डाला गया. हालांकि क्नॉकेल का कहना है, "भले ही इललीगलवर्ड्स.टीएक्सटी का इस्तेमाल फिलहाल नहीं हो रहा हो लेकिन एमवाई 2022 में पहले से ही ऐसे कोड फंक्शन हैं जो इस फाइल को पढ़ने और सेंसरशिप के लिए इस्तेमाल कर सकते हैं, ऐसे में इस लिस्ट की सेंसरशिप चालू करना चुटकियों का काम है."

इस ऐप में रिपोर्टिंग फंक्शन भी मौजूद है जो यूजर को किसी चैट मैसेज के संदिग्ध या आपत्तिजनक लगने पर दूसरे यूजर की रिपोर्ट करने की सहूलियत देता है. रिपोर्ट करने के लिए जो संभावित कारण दिए गए हैं उनमें एक है, "राजनीतिक रूप से संवेदनशील सामग्री." चीन में इस विकल्प का इस्तेमाल सेंसर की गई चीजों के लिए खासतौर से होता है.

बीजिंग ऑर्गनाइजिंग कमेटी की तरफ से कोई जवाब नहीं

सिटिजन लैब का कहना है कि उसने दिसंबर 2021 के शुरुआत में ही बीजिंग ऑर्गनाइजिंग कमेटी को गोपनीयता के साथ ओलिंपिक 2022 के लिए ये सारी जानकारी दे दी थी. सुरक्षा से जुड़ी कमजोरियों की रिपोर्टिंग के लिए यह जरूरी होता है. सिटिजन लैब ने इस रिपोर्ट को सार्वजनिक करने से पहले कमेटी को इसे हल करने के लिए 45 दिन का समय दिया था. क्नॉकेल ने डीडब्ल्यू को बताया, "ऑर्गनाइजिंग कमेटी ने हमारे इस पर्दाफाश का कोई जवाब नहीं दिया."

इसी बीच ऐप में अपडेट भी कर उसे एप्पल और गूगल के स्टोर पर पब्लिश कर दिया गया. सिटिजन लैब के साइबर सिक्योरिटी विशेषज्ञों ने जब इसकी 17 जनवरी 2022 को जांच की तो पता चला कि जिन बातों को लेकर चिंता जताई गई थी उसके संदर्भ में कोई बदलाव नहीं हुआ है.

कानून का उल्लंघन
इंटरनेशनल ओलिंपिक कमेटी ने एथलीटों और टीम के अधिकारियों के लिए बने ओलिंपिक प्लेबुक में कहा है कि एमवाई 2022 ऐप अंतरराष्ट्रीय मानकों और चीन के कानून के मुताबिक है. अपनी खोज के आधार पर सिटिजन लैब का कहना है कि निजी जानकारियों का असुरक्षित प्रसार "चीन के निजता कानूनों का सीधा उल्लंघन हो सकता है." चीन के डाटा प्रोटेक्शन कानून के तहत किसी व्यक्ति के स्वास्थ्य से जुड़ी जानकारियों को डिजिटल रूप से रखा जाता है और इसे सिर्फ इनक्रिप्शन के साथ ही प्रसारित किया जा सकता है.

सिटिजन लैब की खोज ने एप्पल और गूगल पर भी सवाल उठाए हैं. क्नॉकेल ने बताया, "गूगल और एप्पल दोनों की नीतिया संवेदनशील जानकारियों को बिना इनक्रिप्शन के प्रसारित करने से मना करती हैं. ऐसे में एप्पल और गूगल को यह तय करना होगा कि क्या ऐप की कमजोरियां इसे स्टोर से हटाए जाने के काबिल बनाती हैं."

डीडब्ल्यू ने गूगल और एप्पल से इस मामले में प्रतिक्रिया मांगी है. इस बीच बीजिंग ऑर्गनाइजिंग कमेटी अपने ऐप के साथ खड़ी है. उनका कहना है कि गूगल, एप्पल और सैमसंग के परीक्षणों को ऐप ने पास किया है. कमेटी ने सोमवार को शिन्हुआ न्यूज एजेंसी से कहा, "हमने निजी जानकारियों के इनक्रिप्शन जैसे उपाय किए हैं ताकि निजता की रक्षा हो सके." (dw.com)