研究机构报告:北京冬奥App暗藏严重安全风险

【新唐人北京时间2022年01月19日讯】2022冬季奥运会将于2月4日在北京开幕。北京冬奥主办方以需要追踪参与者健康状况及追踪COVID-19病毒感染链为由,要求所有运动员及前往现场采访的媒体采编人员的智能手机,都要安装一款名为“冬奥通”的App。然而,网络研究机构“公民实验室”发布的一份报告显示,这款App存在严重安全隐患

按照北京冬奥会主办方的要求,国外入境的人员必须在抵达中国的14天前,在“冬奥通”应用程序中输入护照和航班信息,以及与COVID-19症状相关的医疗信息,比如是否发烧、疲劳、头痛、干咳、腹泻或喉咙痛等信息。

国际奥委会下发的官方手册也明确规定,所有进入北京冬奥“泡泡”(即隔离参与者与外界联系的防疫闭环系统)的运动员、教练员、记者、体育官员和现场工作人员,都需要通过智能手机上安装的“冬奥通”App,或者以网页输入的方式登记个人信息。

虽然许多国家为应对疫情,都曾使用手机应用程序进行人员接触追踪,但是“冬奥通”却将接触追踪与其它服务结合在一起。例如:获取赛事入场许可,包括体育场馆介绍和访客指南,以及聊天功能(文字与音频的聊天)、新闻推送和文件传输等。

然而,非盈利研究机构公民实验室(Citizen Lab)的一份网络安全报告显示,该款程序内的加密方式存在安全漏洞,可能导致奥运选手、记者及体育官员的隐私因黑客入侵而泄露,或因使用这款App 而成为被监控的对象。

据德国之声18日报导,多伦多大学蒙克全球事务学院的公民实验室,长期专门从事数字安全研究并曾参与揭露间谍软件Pegasus的工作。该机构对“冬奥通”应用程序进行分析后发现,这款应用程序的SSL证书认证系统的一份协议是无效的,这意味这款软件实际上无法保障使用者的数据传输仅在可信设备和服务器之间进行。

报告中写道,“我们的研究发现显示,‘冬奥通’应用程序的安全机制完全不足以防止敏感数据泄露给未经授权的第三方。”

据报导,公民实验室研究员科诺科尔(Jeffrey Knockel)介绍说,他发现这些漏洞不仅仅与健康数据相关,也涉及到这款应用内的其它服务,包括所有文件附件处理以及音频语音信息的传送,而且这款应用内的有些服务数据传输完全不加密,这意味着黑客可以轻易读取软件内建聊天服务的元数据(metadata)。

此外,研究人员还在“冬奥通”中发现一个名为“illegalwords.txt”的文本文件,其中包括2442个关键词和短语,大部分是简体中文,也有少部分单词是维吾尔语、藏语、繁体中文和英语。而这份关键词清单中,涉及了中共审查的政治敏感话题,例如:批评中共及其领导人、法轮功、六四事件、达赖喇嘛、新疆维吾尔人甚至维吾尔语的“古兰经”。

公民实验室的报告表示,虽然目前illegalwords.txt这份文件还没有被使用,但是“冬奥通”的程序中包含了代码功能可以读取这份文件,并将其用于审查功能,而要激活这份清单的审查功能可能是轻而易举的事情。

(责任编辑:何雅婷)

相关文章
评论
新版即将上线。评论功能暂时关闭。请见谅!