北京冬奥在即 官方APP竟爆严重漏洞(图)


外媒揭露中共政府强指规定北京冬奥与会者都须使用的APP“My2022”存在资安问题。(图片来源:Citizen Lab截图)

【看中国2022年1月19日讯】(看中国记者黎小葵综合报导)就在北京冬奥会参赛者即将踏上旅程之际,一份最新网络安全报告披露,中共政府为了2022北京冬季奥运打造了一款名为“My2022”的智能手机应用程式,其可能导致奥运选手、记者以及体育官都员成为骇客入侵、隐私泄漏以及监控行为的对象。

“My2022”存在资安问题

综合英国广播公司(BBC)、德国之声报导,2022北京冬季奥运即将在2月4日(大年初四)开幕。为了防止奥运期间武汉肺炎病毒的传播,中共政府规定所有北京冬奥与会者,包括选手、教练、媒体人士和数千名当地工作人员都必须使用My2022这款手机应用程式(App),或以网页输入的方式登记个人信息。

中共官方强调,使用者在应用程序中输入护照和航班信息,旨在防疫,但加拿大多伦多大学的公民实验室(Citizen Lab)18日发布的报告指出,这款“My2022”并无法验证SSL凭证,因此无法得知这款App到底是向谁传输资讯。

另外My2022也无法对许多文件进行加密,这意味着骇客可以轻易读取应用内建聊天服务的元数据(Metadata)。

据悉,这款App具有一般通讯软件常见的语音聊天、文件传输功能,还可以透过它浏览冬奥相关新闻。

My2022内建审查机制

针对这款My2022存在的另一风险,报告指出,该程序内建了一个名为“illegalwords.txt”的文本文件,其中包括2442个关键词和短语,而这些关键字词又多是简体中文,另有一小部分是藏文、维吾尔文、繁体字和英语。

在众多关键词中,有些是脏话,也有些是中共审查的政治敏感字眼,例如中共邪恶、法轮功、六四事件、强制拆除、注射、习近平、达赖喇嘛以及新疆维吾尔人等。

在手机应用安全分析方面拥有丰富专业知识的公民实验室表示,没有迹象显示,目前版本的My2022程序中主动使用这份敏感词列表进行审查。但研究员科诺科尔表示,“即使目前illegalwords.txt这份文件没有得到使用,但‘My2022’程序仍包含了代码功能可以读取这份文件,并将其用于审查功能,就是说要激活这份清单的审查功能可能是轻而易举的事情。”

值得一提的是,这款软件还包括举报功能,允许用户在发现危险或可疑的聊天讯息时举报其他用户。举报理由中包括“政治敏感内容”。

北京奥组委未回应

德国之声指出,公民实验室在2021年12月初秘密将其研究结果发送给2022北京冬奥组委会,这也是报告安全隐患的国际例行做法。在向公众披露相关研究结果前,公民实验室曾请求北京奥组委在45天内修补这些安全隐患。但北京奥组委没有作出任何回应。

与此同时,该程序在苹果和谷歌的应用商店上数次发布更新版本。但根据公民实验室网络安全专家在2022年1月17日进行的审核显示,有关安全漏洞和“禁忌词”清单没有做出任何改动。

美英澳纽抵制冬奥 荷兰吁代表团警惕监听

事实上,2022年北京冬奥会引发了巨大争议。因为中国人权问题,早于2021年2月就有 180 多个人权组织呼吁各国政府抵制奥运会。目前美国、英国、澳大利亚、新西兰都已宣布不会派官员参与北京冬奥。这意味着这些国家将允许运动员参加奥运会,但不会派政府代表参加比赛。

此外,包括美国、澳大利亚、荷兰等国家也都对即将参加北京冬奥的本国选手和工作人员提出警告,建议他们赴北京参赛期间,不要带手机、笔记型电脑,避免遭到中共官方窃密。

路透社11日引述荷兰《人民报》(De Volkskrant)报导,参加北京冬奥的荷兰代表队选手和队职员,都将配发未用过的新通讯设备,来保护他们的个人资料不被中共窃取。

本文留言

相关文章


近期读者推荐