报告:北京“冬奥通”应用程序存在安全风险

0

2022年1月15日,2022年北京冬季奥运会开幕前,一名戴着口罩的妇女走过倒计时钟(美联社)。

华盛顿 —专门从事数字安全研究的公民实验室(Citizen Lab)星期二(1月18日)公布的研究报告说,2022年北京冬奥会官方规定与会者必须安装的智能手机应用“冬奥通”(My2022)存在安全漏洞,即其用于加密用户语音音频和文件传输的加密技术可以轻易被绕过。这一披露正值国际社会对外国运动员在华期间的网上活动可能受到中国当局监控存在担忧之际。

中国正在为即将举行的北京冬奥会做最后的准备。作为防疫措施之一,主办方要求所有出席冬奥会的人必须安装名为“冬奥通”的应用,登录冬奥健康监测系统,监测并报告健康状况,境外注册人员从入境前14天就开始输入这些信息。

同时,这款应用还提供其他服务,包括获取赛事入场许可以及(文字及音频)聊天功能、新闻推送和文件传输等。

多伦多大学蒙克全球事务与公共政策学院的公民实验室在对这款应用的安全进行分析后发现,该应用有一个简单但后果严重的安全漏洞,即其用于加密用户语音音频和文件传输的加密技术可以轻易被绕过。健康申报表等传输详细护照等个人资料,个人健康信息以及旅游史等也存在安全漏洞。

报告说,“冬奥通”的隐私协议相对直观透明地列出了其收集的各类数据,包括一系列高度敏感的医疗健康资料等个人隐私信息。不过,“冬奥通”并没有清楚列出它会向谁或哪些机构共享和披露这些高度敏感的信息。

根据这份安全分析的中文摘要,“冬奥通”提供让用户举报“政治敏感内容”的功能。同时,软件中含有一个看似用于审查的关键词列表,包含涉及新疆、西藏等一系列与中国政治和政府机构有关的词语,但该审查列表在他们分析的软件版本中没有被启用。

公民实验室说,它不清楚这些安全漏洞的存在是有意还是无意的。在发现这些漏洞后,该机构在去年12月向2022北京冬奥组委会告知了他们的发现,并请求他们在45天内修补这些安全隐患,但没有得到回应。该程序在苹果和谷歌的应用商店里曾数字发布更新版本,但公民实验室1月17日对该程序进行的审核显示,更新的版本对有关的安全漏洞和“禁忌词”清单没有做任何改动。

在这份报告公开发表的前一天,北京冬奥组委新闻发言人在一个发布会上说,冬奥组委所有行为都严格遵守《中华人民共和国个人信息保护法》等相关法律法规,对通过“冬奥通”手机应用程序或互联网站收集运动员和工作人员的个人信息采取加密措施,以确保个人隐私的安全。

由于担心本国运动员在华期间的网上活动可能受到中国当局的监控,美国、澳大利亚和荷兰等国的奥委会分别对本国选手发出警示,呼吁他们使用一次性手机,而不要将个人手机和电脑带进中国。

中国外交部发言人赵立坚在回答有关问题时说,“有关国家提出关于中国所谓‘网络安全’的问题,完全是倒打一耙,无中生有。”

中国当局一直对因特网进行严格的审查和管控,并强化网络防火墙的功能。不过它承诺,外国运动员在北京冬奥会期间可以不受限制地使用互联网。