北京冬奥通手机应用程序存在安全漏洞和审查功能

0

“冬奥通”应用程序存在诸多安全漏洞 公民实验室报告

中国政府以防疫为名,强制所有参加北京奥运的人必须安装手机应用程序“冬奥通”(MY2022 APP),但加拿大多伦多大学公民实验室(Citizen Lab)发布的报告提到,“冬奥通”不仅有严重安全漏洞,还设立了敏感关键字的审查功能。

北京冬奥规定,包括运动员,观众和媒体成员皆需强制性下载“冬奥通” App手机应用程序,它会要求参加者提供个人护照和健康信息等,例如新冠状病毒测试结果和疫苗接种状态。它还提供许多服务,包括旅游建议,病毒疫情监控及GPS导航等服务。

尽管“冬奥通”有着诸多便捷性,但多伦多大学公民实验室研究人员却在App中发现严重缺陷,很容易使音频文件,海关资料,医疗纪录和旅行历史等受黑客攻击。

研究人员杰弗瑞·纳克尔(Jeffrey Knockel)撰写的报告提到,“冬奥通” 没有经过SSL证书验证,这是在网络基础设施中常使用的加密方式来保护应用程序,并确保在传输信息时一定要是经过授权的人才可以访问信息。缺乏验证会让系统盲目地被连接到恶意主机。此外,目前不清楚究竟该App与哪些单位共享高度敏感的信息。

纳克尔说:“我们发现它数据传输的方式非常不安全,个人信息很容易被拦截或是误导到不信任的主机,遗憾的是使用者无力预防这个问题,最好就是连接到信任的网络时才使用这个应用程序。”

纳克尔还发现,“冬奥通”有允许用户举报“政治敏感”内容的功能。该App包括一个审查关键字列表,该列表包括2,442个政治术语,其中一些与新疆和西藏的紧张局势有关,和中国政府机构也有关。列出的关键词不仅有简体中文,还有藏文和维吾尔文,例如“捌玖陆肆纪念”、“习近平”、“中共邪恶”、“中国人都是狗”、“达赖喇嘛”、“强制拆除”、“古兰经”等。

公民实验室的报告中提到冬奥通没有经过SSL证书验证,危险非常高。 (公民实验室报告)

公民实验室的报告中提到冬奥通没有经过SSL证书验证,危险非常高。 (公民实验室报告)

蒙特利尔群体灭绝和人权研究所执行主任凯尔·马修斯(Kyle Matthews)一向严厉批评中国的人权纪录,也呼吁抵制北京冬奥,对于这款“冬奥通”存在的安全漏洞,他说:“这显示任何参加北京奥运的人都会受到中国当局的监控,北京想要控制任何信息,这又是它利用数字科技展现专制的一个例证。”

公民实验室於12月3日向北京奥运组委会披露了它对“冬奥通” 发现的问题,但最终没有获得回应和解决。报告提到,此安全缺陷不仅违反了谷歌的垃圾软件政策和苹果的应用商店指南,还违反了中国自己的隐私保护法律和国家标准。

加拿大奥委会表示,已经提醒运动员注意网络安全,建议他们将私人手机和电脑留在家中,可以在当地使用一次性手机,并要求他们在中国使用的任何电子设备都不要储存个人敏感信息。

自由亚洲电台记者柳飞    责编:嘉远    网编:洪伟