研究機構報告:北京冬奧App暗藏嚴重安全風險

2022年01月19日時政
【新唐人北京時間2022年01月19日訊】2022冬季奧運會將於2月4日在北京開幕。北京冬奧主辦方以需要追蹤參與者健康狀況及追蹤COVID-19病毒感染鏈為由,要求所有運動員及前往現場採訪的媒體採編人員的智能手機,都要安裝一款名為「冬奧通」的App。然而,網絡研究機構「公民實驗室」發布的一份報告顯示,這款App存在嚴重安全隱患。
按照北京冬奧會主辦方的要求,國外入境的人員必須在抵達中國的14天前,在「冬奧通」應用程序中輸入護照和航班信息,以及與COVID-19症狀相關的醫療信息,比如是否發燒、疲勞、頭痛、乾咳、腹瀉或喉嚨痛等信息。
國際奧委會下發的官方手冊也明確規定,所有進入北京冬奧「泡泡」(即隔離參與者與外界聯繫的防疫閉環系統)的運動員、教練員、記者、體育官員和現場工作人員,都需要通過智能手機上安裝的「冬奧通」App,或者以網頁輸入的方式登記個人信息。
雖然許多國家為應對疫情,都曾使用手機應用程序進行人員接觸追蹤,但是「冬奧通」卻將接觸追蹤與其它服務結合在一起。例如:獲取賽事入場許可,包括體育場館介紹和訪客指南,以及聊天功能(文字與音頻的聊天)、新聞推送和文件傳輸等。
然而,非盈利研究機構公民實驗室(Citizen Lab)的一份網絡安全報告顯示,該款程序內的加密方式存在安全漏洞,可能導致奧運選手、記者及體育官員的隱私因黑客入侵而洩露,或因使用這款App 而成為被監控的對象。
據德國之聲18日報導,多倫多大學蒙克全球事務學院的公民實驗室,長期專門從事數字安全研究並曾參與揭露間諜軟件Pegasus的工作。該機構對「冬奧通」應用程序進行分析後發現,這款應用程序的SSL證書認證系統的一份協議是無效的,這意味這款軟件實際上無法保障使用者的數據傳輸僅在可信設備和服務器之間進行。
報告中寫道,「我們的研究發現顯示,『冬奧通』應用程序的安全機制完全不足以防止敏感數據泄露給未經授權的第三方。」
據報導,公民實驗室研究員科諾科爾(Jeffrey Knockel)介紹說,他發現這些漏洞不僅僅與健康數據相關,也涉及到這款應用內的其它服務,包括所有文件附件處理以及音頻語音信息的傳送,而且這款應用內的有些服務數據傳輸完全不加密,這意味著黑客可以輕易讀取軟件內建聊天服務的元數據(metadata)。
此外,研究人員還在「冬奧通」中發現一個名為「illegalwords.txt」的文本文件,其中包括2442個關鍵詞和短語,大部分是簡體中文,也有少部分單詞是維吾爾語、藏語、繁體中文和英語。而這份關鍵詞清單中,涉及了中共審查的政治敏感話題,例如:批評中共及其領導人、法輪功、六四事件、達賴喇嘛、新疆維吾爾人甚至維吾爾語的「古蘭經」。
公民實驗室的報告表示,雖然目前illegalwords.txt這份文件還沒有被使用,但是「冬奧通」的程序中包含了代碼功能可以讀取這份文件,並將其用於審查功能,而要激活這份清單的審查功能可能是輕而易舉的事情。
(責任編輯:何雅婷)