Dacă sperați să participați la Cupa Mondială din Qatar, s-ar putea să vă regândiți planurile după ce veți afla care sunt condițiile impuse. La intrarea în țară, călătorii trebuie să descarce și să instaleze două aplicații pe telefonul mobil, doar că ambele funcționează similar unui spyware și acordă autorităților din Qatar permisiuni pe care experții în securitate le consideră ce puțin discutabile.
Qatar este gazda Cupei Mondiale FIFA din acest an, programată să se desfășoare între 20 noiembrie și 18 decembrie. În mod deosebit, este pentru prima dată când Cupa Mondială este găzduită de o națiune arabă și doar a doua ediție care se desfășoară în întregime în Asia.
Mii de fani ai fotbalului sunt așteptați să viziteze Qatar pentru a asista live la atmosfera oferită de meciurile Cupei Mondiale 2022. Cu toate acestea, țara gazdă a stârnit îngrijorări serioase în rândul cercetătorilor în domeniul securității cibernetice prin faptul că le-a “cerut” vizitatorilor să descarce aplicații care le oferă oficialilor drepturi excesive asupra datelor de pe telefoanele lor.
Øyvind Vasaasen, șeful departamentului de securitate al companiei norvegiene NRK, a declarat că acest lucru este o problemă pentru el: “Nu este treaba mea să dau sfaturi de călătorie, dar, personal, nu mi-aș lua niciodată telefonul mobil într-o vizită în Qatar”.
Aplicațiile în cauză se numesc “Ehteraz” și “Hayya to Qatar 2022”.
Ehteraz reprezintă o aplicație de urmărire (tracking) a COVID-19 disponibilă pentru iOS și Android, doar că aceasta solicită mai multe permisiuni decât ar avea nevoie. Pe lângă permisiuni oarecum legitime de locație exactă, Wi-Fi și Bluetooth, ce ar fi necesare pentru tracking în situații de anchete epidemiologice, se pare că Vasaasen a efectuat o analiză amănunțită și a descoperit că Ehteraz dorea mult mai mult decât capabilități de urmărire. Aplicația poate, de asemenea, “citi, șterge sau modifica tot conținutul” de pe telefonul utilizatorului, poate anula orice altă aplicație instalată și poate împiedica telefonul să intre în modul sleep. Printre permisiunile suplimentare se numără capacitatea de a efectua apeluri de ieșire și dezactivarea ecranului de blocare al dispozitivului.
Hayya este cea de-a doua aplicație mobilă, disponibilă în Apple App Store și Google Play, care la prima vedere pare a fi utilizată în principal pentru a urmări meciurile și a accesa sistemul de metrou gratuit din Qatar. Cu toate acestea, același Øyvind Vasaasen a descoperit că la instalare Hayya cerea câteva permisiuni extra. În primul rând, are permisiunea de a partaja informații de pe telefon fără practic nicio restricție, poate urmări locația utilizatorului, poate împiedica dispozitivul să intre în modul sleep și poate vedea conexiunile de rețea ale utilizatorului.
Practic, prin cele două aplicații, guvernul din Qatar are control complet asupra datelor stocate pe un dispozitiv, inclusiv capacitatea de a modifica sau șterge informații.
“Atunci când descărcați aceste două aplicații, acceptați termenii stabiliți în contract, iar acești termeni sunt foarte generoși. Practic, predai toate informațiile din telefon”, a declarat Vasaasen. “Le dați persoanelor care controlează aplicațiile posibilitatea de a citi și de a schimba lucruri și de a le modifica. De asemenea, ei au posibilitatea de a prelua informații din alte aplicații, dacă au capacitatea de a face acest lucru, iar noi credem că o au.”
Aplicațiile sunt controlate în primul rând de Institutul de Sănătate Publică, parte a Ministerului de Interne, care este cu adevărat interesat să prevină răspândirea COVID-19 în țară. Cu toate acestea, permisiunile pe care le solicită depășesc cu mult ceea ce este necesar pentru a face acest lucru, iar prin acceptarea condițiilor, utilizatorii oferă autorităților “oportunitatea” de a abuza de drepturile care le sunt acordate.
În urma verificărilor noastre, am instalat aplicația EHTERAZ și am constatat că de la prima rulare, printr-un mesaj pop-up ți se aduce la cunoștință faptul că aplicația solicită “permisiuni de root” pentru “buna funcționare a aplicației”. Un alt element poate ciudat este faptul că nu pot fi realizate capturi de ecran (screenshot) în aplicație, fără mici tertipuri.