北京冬奥官方App有安全漏洞 易于遭受隐私洩露和骇客攻击
-
加拿大研究人员发布的一份报告显示,将于下月登场的北京冬季奥运会,官方规定包括运动员、观众和媒体等所有参与者都必须使用的手机应用程式「冬奥通」(MY2022)存在安全漏洞,使其易于遭受隐私洩露和骇客攻击。翻摄冬奥通Google Play页面(photo:AppleDaily)根据加拿大研究人员周二(1/18)发布的一份报告,将于下月登场的北京冬季奥运会,官方规定包括运动员、观众和媒体等所有参与者都必须使用的手机应用程式「冬奥通」(MY2022)存在安全漏洞,使其易于遭受隐私洩露和骇客攻击。
「冬奥通」由北京冬奥组委会开发,主要用途是于冬奥期间,在运动员之间追踪和分享COVID-19相关的医疗资讯,也提供语音聊天、档案传输和北京冬奥新闻的服务。
加拿大多伦多网路研究机构公民实验室(Citizen Lab)的报告指出,冬奥通有一个安全漏洞,也就是它用于加密用户语音音讯和文件传输的加密技术可以轻易被绕过,使其易于受到骇客攻击。此外,「冬奥通」的隐私政策并未具体说明将与哪些组织分享用户资讯。
研究人员在iOS版本「冬奥通」註册帐号时发现漏洞,他们无法在安卓版本中创建帐户,但强调两个版本的「冬奥通」都存在安全漏洞。
这份报告发布的同时,国际社会也对将于2月4日登场的北京冬奥资讯安全问题的疑虑日益增长。
许多专家建议,参加北京冬奥的人应该带抛弃式手机,以及创设专属在中国这段期间使用的电子邮件帐号。
公民实验室报告作者表示,他们也发现App中建有审查关键词清单列表,还有举报功能,允许用户举报其他政治敏感内容。
分析人员指出,这些功能和安全漏洞对于在中国运作的App来说并不异常,但却对用户带来风险。审查列表档案目前似乎未被启用,不过一切都还不清楚。
含有2442个关键词的清单中主要与政治相关,或是骂人的脏话和非法物品。大多是简体中文,但有部分是藏语、维吾尔语和英语。
清单中包含中国领导人姓名、政府机关,还有天安门事件,以及在中国被禁的宗教团体法轮功。
分析人员表示,这份清单和举报键都是中国使用或开发许多受欢迎App中常见的功能,但这可能造成「不透明内容遭删除和他人恶意举报」。
所有北京冬奥参与者都被要求,在抵达中国的14天前就下载「冬奥通」来记录个人健康状况。外国访客也需要上传早已递交给中国政府的敏感资讯,像是护照中详细的个人资料、旅游史和医疗纪录。
公民实验室表示,如果用户成为锁定目标,骇客可能会轻松利用这款软体的传输漏洞窃取资料。
分析人员也指出,这款App的SSL数位安全凭证是无效的,部分资料在没有任何SSL保护或加密的情况下进行传输。(国际中心/综合中央社、外电报导)
