報告:北京“冬奧通”應用程序存在安全風險

  • 黎堡

2022年1月15日,2022年北京冬季奧運會開幕前,一名戴著口罩的婦女走過倒計時鐘(美聯社)。

Your browser doesn’t support HTML5

報告:北京“冬奧通”應用程序存在安全風險

專門從事數字安全研究的公民實驗室(Citizen Lab)星期二(1月18日)公佈的研究報告說,2022年北京冬奧會官方規定與會者必須安裝的智能手機應用“冬奧通”(My2022)存在安全漏洞,即其用於加密用戶語音音頻和文件傳輸的加密技術可以輕易被繞過。這一披露正值國際社會對外國運動員在華期間的網上活動可能受到中國當局監控存在擔憂之際。

中國正在為即將舉行的北京冬奧會做最後的準備。作為防疫措施之一,主辦方要求所有出席冬奧會的人必須安裝名為“冬奧通”的應用,登錄冬奧健康監測系統,監測並報告健康狀況,境外註冊人員從入境前14天就開始輸入這些信息。

同時,這款應用還提供其他服務,包括獲取賽事入場許可以及(文字及音頻)聊天功能、新聞推送和文件傳輸等。

多倫多大學蒙克全球事務與公共政策學院的公民實驗室在對這款應用的安全進行分析後發現,該應用有一個簡單但後果嚴重的安全漏洞,即其用於加密用戶語音音頻和文件傳輸的加密技術可以輕易被繞過。健康申報表等傳輸詳細護照等個人資料,個人健康信息以及旅遊史等也存在安全漏洞。

報告說,“冬奧通”的隱私協議相對直觀透明地列出了其收集的各類數據,包括一系列高度敏感的醫療健康資料等個人隱私信息。不過,“冬奧通”並沒有清楚列出它會向誰或哪些機構共享和披露這些高度敏感的信息。

根據這份安全分析的中文摘要,“冬奧通”提供讓用戶舉報“政治敏感內容”的功能。同時,軟件中含有一個看似用於審查的關鍵詞列表,包含涉及新疆、西藏等一系列與中國政治和政府機構有關的詞語,但該審查列表在他們分析的軟件版本中沒有被啟用。

公民實驗室說,它不清楚這些安全漏洞的存在是有意還是無意的。在發現這些漏洞後,該機構在去年12月向2022北京冬奧組委會告知了他們的發現,並請求他們在45天內修補這些安全隱患,但沒有得到回應。該程序在蘋果和谷歌的應用商店裡曾數字發布更新版本,但公民實驗室1月17日對該程序進行的審核顯示,更新的版本對有關的安全漏洞和“禁忌詞”清單沒有做任何改動。

在這份報告公開發表的前一天,北京冬奧組委新聞發言人在一個發布會上說,冬奧組委所有行為都嚴格遵守《中華人民共和國個人信息保護法》等相關法律法規,對通過“冬奧通”手機應用程序或互聯網站收集運動員和工作人員的個人信息採取加密措施,以確保個人隱私的安全。

由於擔心本國運動員在華期間的網上活動可能受到中國當局的監控,美國、澳大利亞和荷蘭等國的奧委會分別對本國選手發出警示,呼籲他們使用一次性手機,而不要將個人手機和電腦帶進中國。

中國外交部發言人趙立堅在回答有關問題時說,“有關國家提出關於中國所謂'網絡安全'的問題,完全是倒打一耙,無中生有。”

中國當局一直對因特網進行嚴格的審查和管控,並強化網絡防火牆的功能。不過它承諾,外國運動員在北京冬奧會期間可以不受限制地使用互聯網。