北京冬奥App被曝加密无效 多国警告运动员风险
北京冬奥会要求前来参赛的各国选手安装“冬奥通”(My 2022)App,但加拿大网络研究机构发现这款“防疫软体”暗藏政治审查,包括审查“敏感词”。
北京冬奥官方规定使用app“冬奥通”,遭指有严重资安问题。(图片来源:网络截图)
德国之声独家从加拿大多伦多非盈利研究机构“公民实验室”(Citizen Lab)获得的一份网络安全报告显示,中共卫生防疫措施要求各国选手,安装一款名为“冬奥通”(My 2022)的智能手机应用程序,这款“冬奥通”App的加密功能形同虚设。
根据国际奥委会发布的北京冬奥官方手册,各国人士要在前往中国前至少14天内下载“冬奥通”。此后,每天需报告健康状况,上传疫苗接种证书和COVID-19测试结果。在抵达中国后,也要每天通过该App汇报健康状况,包括体温。
“公民实验室”的研究员科诺柯尔(Jeffrey Knockel)在报告中指出,该App“有一个简单的但是灾难性的缺陷,那就是用户的加密传输内容,可以不费吹灰之力被突破”。
此外,研究人员还发现,在该App中有一个“敏感词”illegalwords.txt的审查表文本文件,包括2,442个关键词和短语,大部分是简体中文,但也有很小一部分维吾尔语、藏语、正体中文和英语。
这些关键词,包括大量政治或信仰方面的内容,以及涉及中共及其领导人、法轮功、六四事件、达赖喇嘛、新疆维吾尔人的词汇。例如“天安门”、“中共邪恶”、“胡江内斗”、“法轮大法好”等。甚至维吾尔语的“古兰经”一词也在这份清单中。
虽然这些“敏感词”列表目前处于休眠状态,并未阻止任何通信。但科诺柯尔表示,“激活(启用)这份清单的审查功能,很可能是轻而易举的事情。”
根据“冬奥通”政策规定,中共甚至可以在涉及“国安事务和刑事调查”的情况下,不经用户同意就可使用其个资。
因此,科诺柯尔建议,参赛者如果必须使用这款App,最好通过虚拟专用网络(VPN)连接到网络。
公民实验室在报告中也直指,冬奥通在隐私保障上的缺陷在多数中国企业开发的手机app上都存在,因此有这些资安缺陷,“并不令人意外”。
对此,目前一些国家已经采取了预防措施。澳洲奥委会发言人说,“在分配给我们的区域,澳洲将提供自己的Wi-Fi,由我们的IT部门提供的网络服务。”
加拿大奥委会也提醒本国队员,为避免奥运会“为网络犯罪提供了一个独特机会”,建议他们将个人电子产品留在家中,避免个资带到中国后遭到窃取。
美国奥委会日前在一份备忘录中警告选手,“应假设在中国所有数据与沟通往来都会遭到监控、入侵或阻挡”。
荷兰、比利时也都建议参赛选手勿将手机、笔记型电脑带进中国境内,以免相关资讯遭到中共政府窃取。
北京奥委会则象一贯声称的那样说,“这些担忧完全没有必要”,中共会保护公民和外国游客的隐私和数据安全。
