China dwingt haar burgers om een brakke surveillance-app te installeren

Inwoners van Xinjiang, in het westen van China, moeten een Android-app installeren die hun bestanden scant. Security-onderzoekers hebben ontdekt dat deze JingWang-app belachelijk slecht beveiligd is en data onversleuteld doorstuurt

Volgens experts wil China met deze app de ongeveer 11 miljoen Oeigoeren nog meer onderdrukken en nog beter volgen. En de etnische minderheid woont al in een gebied waar een aantal van de grootste mensenrechtenschendingen ter wereld plaatsvinden.

“Met ons onderzoek kunnen we bevestigen dat de JingWang-app bijzonder onveilig is en dat persoonlijke informatie van gebruikers niet beschermd wordt. En dat zijn ook nog eens mensen die gedwongen worden om de app te downloaden en gebruiken,” vertelt Adam Lynn aan Motherboard in een mail. Lynn is onderzoeksdirecteur bij het Open Technology Fund (OTF), een organisatie die meehielp met het onderzoek naar JingWang.

In 2017 stuurden autoriteiten een boodschap met de populaire chatapp WeChat naar de inwoners van Ürümgi, de hoofdstad van Xinjiang. In het bericht zat een QR-code waarmee ze de JingWing-app moesten downloaden.

Zoals The New York Times al meldde, worden de islamitische Oeigoeren nauwlettend gevolgd door de Chinese overheid. Zo staan er röntgenscanners bij supermarkten en banken, er wordt massaal gebruik gemaakt van gezichtsherkenningssoftware en er wordt allerlei informatie aan hun ID-nummer gekoppeld. Kleine groepen Oeigoeren hebben aanslagen gepleegd op de Chinese overheid, onder meer tijdens rellen in 2009. De Associated Press meldde in een onderzoek naar de surveillance in Xinjiang dat er tijdens aanslagen in 2013 en 2014 een massasteekpartij in een treinstation was waarbij 33 mensen omkwamen.

Vanwege hun afwijkende taal, etniciteit en cultuur hebben de Chinese autoriteiten “de politieke loyaliteit van de Oeigoeren aan de overheid” altijd in twijfel getrokken, vertelt Sophie Richardson, de directeur van Human Rights Watch China, aan de telefoon.

OFT zegt in zijn rapport dat JingWang naar onder andere HTML-files, tekstbestanden en afbeeldingen zoekt. Dat gebeurt door de inhoud van de telefoon te vergelijken met een lijst met MD5-hashes. Een hash is een soort digitale vingerafdruk. Dit bevestigt wat Chinese gebruikers ook al zeiden toen de app vorig jaar werd gelanceerd.

In een vertaling van de aankondiging van JingWang die door Mashable werd gepubliceerd, staat dat JingWang “automatisch zoekt naar terroristische en illegale religieuze video’s, afbeeldingen, e-books en elektronische documenten.” Gebruikers kregen te horen dat ze bestanden die niet aan de regels voldoen, moesten verwijderen. Anders hing ze tien dagen celstraf boven het hoofd. .

Het is niet precies duidelijk waar JingWang naar zoekt. In een blogpost van OTF staat een lijst met hashes van de bestanden en heeft een lijst met ongeveer 47.000 hashes uit de app gedeeld met Motherboard. De app heeft ook een screenshotfunctie om foto’s van de gevonden bestanden te maken.

Als een apparaat mogelijk gevaarlijk is, verstuurt JingWang ook het telefoonnummer, het toesteltype, het MAC-adres, het unieke IMEI-nummer en de metadata van het apparaat naar een externe server. Motherboard vond dat deze externe server – niet heel verrassend – in China staat.

Al deze data wordt zonder enige vorm van versleuteling opgeslagen als platte tekst. Daarnaast werden de updates van de app ook niet digitaal ondertekend. Dit betekent dat de app kan worden vervangen door een andere app zonder dat het apparaat het door heeft. “Deze slechte beveiliging maakt gebruikers niet alleen kwetsbaarder voor de Chinese overheid, maar ook voor andere hackers. Het lijkt alsof er geen enkele interesse is in het beschermen van de informatie van burgers. Ze zijn alleen geïnteresseerd in de date waarmee ze hun burgers kunnen controleren,” zegt Lynn. De app neemt de veiligheid van gewone mensen niet serieus genoeg, zodat de bevolking makkelijk bespioneerd kan worden. Daarnaast is het natuurlijk een veel groter probleem dat de Chinese overheid burgers dwingt om een app te installeren.

“Maar onthoud dat dit niet de eerste surveillance-app van de Chinese overheid is. Dit soort apps zijn al in kleinere provincies geïntroduceerd, voordat ze in Xinjiang werden gebruikt,” zegt Lotus Ruan in een mail. Ruan is een onderzoeker van het Citizen Lab aan de Munk School of Global Affairs en de universiteit van Toronto.

**Volg Motherboard op Facebook *en* Twitter.**