Aplicativo de vigilância do governo chinês é vulnerável a ataques de MITM

Imagem: Shutterstock

Por Leandro Rocha

Em relatório divulgado na última semana, a Open Technology Fund (OTF) — organização financiada pelo governo dos EUA que apoia tecnologias globais de liberdade na Internet — informou que o aplicativo JingWang (software de vigilância instalado de forma compulsória pelo governo chinês em dispositivos Android de cidadãos da província de Xianjiang) não só captura informações privadas dos proprietários dos dispositivos como também as deixa desprotegidas, uma vez que possui uma vulnerabilidade que o torna um alvo potencial de ataques de man-in-the-middle (MITM)

Em 2017, autoridades chinesas enviaram uma mensagem através do WeChat (aplicativo de mensagem popular na china) exigindo que a população uigur — um grupo étnico culturalmente muçulmano residente em Xinjiang — instalasse o aplicativo JingWang em seus dispositivos, com o objetivo, segundo o governo, de detectar documentos terroristas, vídeos religiosos e imagens consideradas ilegais.

Esta foi mais uma dentre as muitas formas de vigilância impostas aos cidadãos de Xinjiang devido a antigas tensões entre grupos da região e o governo chinês. Enquanto o governo considera o grupo étnico nativo como “perigosos separatistas”, os uigures afirmam que a província de Xinjiang, a qual eles chamam de Turquestão Oriental não é legalmente uma parte da China, mas um território invadido em 1949 com ajuda soviética.

O relatório divulgado pela OTF afirma que há abuso das autoridades chinesas contra os uigures e considera o aplicativo JingWang bastante invasivo por, além de extrair arquivos de interesse do governo, enviar registros de logins realizados em redes wireless, o modelo do dispositivo, endereço MAC, número IMEI e metadados de qualquer arquivo armazenado para um servidor de comando e controle, além de bloquear alguns sites e impedir a instalação de alguns outros aplicativos.

Além de invasivo, o relatório aponta ainda que o JingWang é inseguro, uma vez que todos os dados são trafegados sem criptografia, permitindo ataques do tipo man-in-the-middle, nos quais um agente malicioso localizado na mesma rede que a vítima, poderia interceptar as informações confidenciais dos usuários ou até manipular arquivos falsos de forma a incriminar um usuário do aplicativo.

“O que podemos confirmar, com base nas constatações da auditoria, é que o aplicativo JingWang é particularmente inseguro e é construído sem nenhuma segurança para proteger as informações privadas de identificação pessoal de seus usuários (…)”, afirmou Adam Lynn, diretor de pesquisa do OTF em entrevista ao site Motherboard.

Lynn também afirmou que “a insegurança técnica do aplicativo permite que seus usuários sofram novos ataques de atores além do governo chinês. Parece que não há interesse em proteger a informação dos cidadãos, apenas em usá-la contra eles”.

A grande questão nesse caso, segundo a Motherboard, é a facilidade com que as autoridades chinesas obrigaram os cidadãos a instalarem um software de monitoramento. Se algum uigur decidir não instalar o JingWang e a polícia descobrir, este enfrentará até dez dias de detenção.

Segundo o jornal The New York Times, algumas pessoas da burocracia chinesa e dos círculos acadêmicos chineses discordam dessa abordagem. Eles temem que o bloqueio de toda uma província e a perseguição de todo um grupo étnico só incute em um ressentimento duradouro entre os uigures.

James Millward, professor de história na Universidade de Georgetown, levantou uma questão: à medida que a China cresce no cenário internacional, a pergunta é se o que acontece em Xinjiang permanecerá em Xinjiang.

Like what you read? Give Tempest Security a round of applause.

From a quick cheer to a standing ovation, clap to show how much you enjoyed this story.