北京冬奧在即 官方APP竟爆嚴重漏洞(圖)


外媒揭露中共政府強指規定北京冬奧與會者都須使用的APP「My2022」存在資安問題。(圖片來源:Citizen Lab截圖)

【看中國2022年1月19日訊】(看中國記者黎小葵綜合報導)就在北京冬奧會參賽者即將踏上旅程之際,一份最新網絡安全報告披露,中共政府為了2022北京冬季奧運打造了一款名為「My2022」的智能手機應用程式,其可能導致奧運選手、記者以及體育官都員成為駭客入侵、隱私洩漏以及監控行為的對象。

「My2022」存在資安問題

綜合英國廣播公司(BBC)、德國之聲報導,2022北京冬季奧運即將在2月4日(大年初四)開幕。為了防止奧運期間武漢肺炎病毒的傳播,中共政府規定所有北京冬奧與會者,包括選手、教練、媒體人士和數千名當地工作人員都必須使用My2022這款手機應用程式(App),或以網頁輸入的方式登記個人信息。

中共官方強調,使用者在應用程序中輸入護照和航班信息,旨在防疫,但加拿大多倫多大學的公民實驗室(Citizen Lab)18日發布的報告指出,這款「My2022」並無法驗證SSL憑證,因此無法得知這款App到底是向誰傳輸資訊。

另外My2022也無法對許多文件進行加密,這意味著駭客可以輕易讀取應用內建聊天服務的元數據(Metadata)。

據悉,這款App具有一般通訊軟體常見的語音聊天、文件傳輸功能,還可以透過它瀏覽冬奧相關新聞。

My2022內建審查機制

針對這款My2022存在的另一風險,報告指出,該程序內建了一個名為「illegalwords.txt」的文本文件,其中包括2442個關鍵詞和短語,而這些關鍵字詞又多是簡體中文,另有一小部分是藏文、維吾爾文、繁體字和英語。

在眾多關鍵詞中,有些是髒話,也有些是中共審查的政治敏感字眼,例如中共邪惡、法輪功、六四事件、強制拆除、注射、習近平、達賴喇嘛以及新疆維吾爾人等。

在手機應用安全分析方面擁有豐富專業知識的公民實驗室表示,沒有跡象顯示,目前版本的My2022程序中主動使用這份敏感詞列表進行審查。但研究員科諾科爾表示,「即使目前illegalwords.txt這份文件沒有得到使用,但『My2022』程序仍包含了代碼功能可以讀取這份文件,並將其用於審查功能,就是說要激活這份清單的審查功能可能是輕而易舉的事情。」

值得一提的是,這款軟件還包括舉報功能,允許用戶在發現危險或可疑的聊天訊息時舉報其他用戶。舉報理由中包括「政治敏感內容」。

北京奧組委未回應

德國之聲指出,公民實驗室在2021年12月初秘密將其研究結果發送給2022北京冬奧組委會,這也是報告安全隱患的國際例行做法。在向公眾披露相關研究結果前,公民實驗室曾請求北京奧組委在45天內修補這些安全隱患。但北京奧組委沒有作出任何回應。

與此同時,該程序在蘋果和谷歌的應用商店上數次發布更新版本。但根據公民實驗室網絡安全專家在2022年1月17日進行的審核顯示,有關安全漏洞和「禁忌詞」清單沒有做出任何改動。

美英澳紐抵制冬奧 荷蘭籲代表團警惕監聽

事實上,2022年北京冬奧會引發了巨大爭議。因爲中國人權問題,早於2021年2月就有 180 多個人權組織呼籲各國政府抵制奧運會。目前美國、英國、澳大利亞、紐西蘭都已宣布不會派官員參與北京冬奧。這意味著這些國家將允許運動員參加奧運會,但不會派政府代表參加比賽。

此外,包括美國、澳大利亞、荷蘭等國家也都對即將參加北京冬奧的本國選手和工作人員提出警告,建議他們赴北京參賽期間,不要帶手機、筆記型電腦,避免遭到中共官方竊密。

路透社11日引述荷蘭《人民報》(De Volkskrant)報導,參加北京冬奧的荷蘭代表隊選手和隊職員,都將配發未用過的新通訊設備,來保護他們的個人資料不被中共竊取。

本文留言

相關文章


近期讀者推薦