新聞集錦
發佈於:2022-01-20
北京冬奧通手機應用程序存在安全漏洞和審查功能
“冬奧通”應用程序存在諸多安全漏洞(公民實驗室報告)
中國政府以防疫爲名,強制所有參加北京奧運的人必須安裝手機應用程序“冬奧通”(MY2022 APP),但加拿大多倫多大學公民實驗室(Citizen Lab)發佈的報告提到,“冬奧通”不僅有嚴重安全漏洞,還設立了敏感關鍵字的審查功能。
疫情防控、政治維穩:北京冬奧會定向派票不售票
疫情與人權 北京"雙奧之城"的壓力與陰影
討論:冬奧會即將召開 還有哪些問題懸而未決?
北京冬奧規定,包括運動員,觀衆和媒體成員皆需強制性下載“冬奧通” App手機應用程序,它會要求參加者提供個人護照和健康信息等,例如新冠狀病毒測試結果和疫苗接種狀態。它還提供許多服務,包括旅遊建議,病毒疫情監控及GPS導航等服務。
儘管“冬奧通”有着諸多便捷性,但多倫多大學公民實驗室研究人員卻在App中發現嚴重缺陷,很容易使音頻文件,海關資料,醫療紀錄和旅行歷史等受黑客攻擊。
研究人員傑弗瑞·納克爾(Jeffrey
Knockel)撰寫的報告提到,“冬奧通” 沒有經過SSL證書驗證,這是在網絡基礎設施中常使用的加密方式來保護應用程序,並確保在傳輸信息時一定要是經過授權的人才可以訪問信息。缺乏驗證會讓系統盲目地被連接到惡意主機。此外,目前不清楚究竟該App與哪些單位共享高度敏感的信息。
納克爾說:“我們發現它數據傳輸的方式非常不安全,個人信息很容易被攔截或是誤導到不信任的主機,遺憾的是使用者無力預防這個問題,最好就是連接到信任的網絡時才使用這個應用程序。”
納克爾還發現,“冬奧通”有允許用戶舉報“政治敏感”內容的功能。該App包括一個審查關鍵字列表,該列表包括2,442個政治術語,其中一些與新疆和西藏的緊張局勢有關,和中國政府機構也有關。列出的關鍵詞不僅有簡體中文,還有藏文和維吾爾文,例如“捌玖陸肆紀念”、“習近平”、“中共邪惡”、“中國人都是狗”、“達賴喇嘛”、“強制拆除”、“古蘭經”等。
公民實驗室的報告中提到冬奧通沒有經過SSL證書驗證,危險非常高。 (公民實驗室報告)
蒙特利爾羣體滅絕和人權研究所執行主任凱爾·馬修斯(Kyle Matthews)一向嚴厲批評中國的人權紀錄,也呼籲抵制北京冬奧,對於這款“冬奧通”存在的安全漏洞,他說:“這顯示任何參加北京奧運的人都會受到中國當局的監控,北京想要控制任何信息,這又是它利用數字科技展現專制的一個例證。”
公民實驗室於12月3日向北京奧運組委會披露了它對“冬奧通” 發現的問題,但最終沒有獲得回應和解決。報告提到,此安全缺陷不僅違反了谷歌的垃圾軟件政策和蘋果的應用商店指南,還違反了中國自己的隱私保護法律和國家標準。
加拿大奧委會表示,已經提醒運動員注意網絡安全,建議他們將私人手機和電腦留在家中,可以在當地使用一次性手機,並要求他們在中國使用的任何電子設備都不要儲存個人敏感信息。(自由亞洲電臺記者柳飛 責編:嘉遠 網編:洪偉)