北京冬奥:「冬奥通」安全漏洞已修复 官员「锅甩」软件开发商

0

北京冬奥 APP「冬奥通」(My 2022)被曝光存有严重安全漏洞,冬奥官员回应,漏洞已经得到修复。 法新社资料图片

北京冬奥 APP「冬奥通」(My 2022)被曝光存有严重安全漏洞,荷兰、加拿大、英国、美国等,已向运动员发出保密防谍的预警。冬奥官员回应,漏洞已经得到修复。

被指存有安全漏洞的「冬奥通」(My 2022),是北京冬奥会官方要求所有注册涉奥人员,必须使用的一款智能手机应用程序(APP)。该APP可以让北京政府部门接到使用者,方便出现疫情时对接触者进行追踪。它类似于一个基于手机应用的更广泛健康代码系统,在发生疫情时用来控制人口流动。

周二(18日)加拿大多伦多大学的网络安全监督小组「公民实验室(Citizen Lab)」的一份报告称,「冬奥通」有一个简单但后果严重的安全漏洞,即其用于加密用户语音音频和文件传输的加密技术可以轻易被绕过。健康申报表、护照等个人资料、行动轨迹等可以被轻易截取。服务器响应也可以被欺骗,允许攻击者向用户显示虚假指令。

「冬奥通」还提供让用户举报「政治敏感内容」的功能。软件中含有审查的关键词列表,内含涉及新疆、西藏等一些列与中国政治和政府机构有关的词语。

《法新社》20日最新的消息指,冬奥技术部官员表示,相关漏洞已经得到修复。不过,中方官员表示,「冬奥通」已经通过了谷歌、苹果和三星等海外手机应用市场的审核。中方官员起初并不承认有数据泄露,指「冬奥通」相关语音、行踪、用户注册信息等,都是向奥委会申报的合法行为。

北京冬奥会技术部官员:首先,数据泄露是肯定没有的,我们的系统开发是严格按照国家的规范,按照数据传输的保密要求,来开发的系统,但是数据是肯定要被使用的。那么这在我们跟国际奥委会之间的防疫手册有明确规定,哪些数据怎么使用。

不过,对于加拿大「公民实验室」指「冬奥通」有安全隐患,去年12月初按国际惯例,将研究结果发送给2022北京冬奥组委会,要求其修补漏洞,但北京奥组委官方没有回应。该名官员在回答,安全漏洞已经修改。

北京冬奥会技术部官员:关于这个问题,很抱歉,就是原来的那个邮箱,是在几年前已经停用了,所以我们没有看到这个邮箱,事实上我们的开发企业,已经跟实验室取得了联系,他们有发了邮件也有回覆,那么对于后续的漏洞整改,或者说问题的整改,肯定都有相应的讨论,从我们的这个企业也表示,非常愿意这些善意的这个提出意见和建议,来提高系统的质量。实际上安全漏洞已经修复,如果说以前的早期版本还有的话,现在的版本实际上是已经修复了,「实验室」所说的漏洞现在已经不存在。

对于「冬奥通」被揭发审查「政治敏感内容」,北京冬奥会官员就锅甩到了软件开发商。称官方没有这方面的要求,是软件承包商不知为何多此一举。

北京冬奥会技术部官员:首先「冬奥通」不包含这样的功能。也就是说从我们的设计开发开始,就没有提出这样的功能需求,那现在你去测试一下,一定不会有实现这样的功能,那么至于说开发商之所以有这样一个软件或者程序在里面,我们也在请开发商审核。

目前,已有荷兰、加拿大、英国、美国向运动员发出防谍防窃听预警。美国奥委会表明「每台设备、每一次通信、每笔交易和每一次在线活动都可能受到监控,因此请为此做好计划。」美国前国务卿蓬佩奥1月14日在推特曾披露,当时国务院官员去中国出差时,都将手机留在国内。

记者:马立克 责编:何景文