北京冬奥程式被指有安全漏洞 用户通话信息存在被截取风险(图)

发布 : 2022-1-19  来源 : 明报新闻网


用微信扫描二维码,分享至好友和朋友圈

加关注


明声网温哥华 微信公众号

一名儿童周二在北京天安门广场一个北京冬奥会装饰前玩耍。(美联社)


【明报专讯】北京冬季奥运会举行在即,加拿大一个网络安全研究组织周二公布报告,指运动员及工作人员必须安装的智能电话应用程式「冬奥通」(MY2022)存在严重安全漏洞,使用者的通话和信息有被截取的风险。

为了防止奥运期间爆发疫情,中国政府规定所有参加北京冬奥的人员,在出发前至少14天下载及使用「冬奥通」,每日申报其健康状态,并能上传其疫苗证明和病毒检测结果。该程式同时包括实时聊天、档案传送、新闻以及天气资料等功能。

专门研究网络安全的多伦多「公民实验室」(Citizen Lab) 研究员诺克尔(Jeffrey Knockel)在报告中指出,该应用程序「有一个简单但具破坏性的缺陷,保护用户语音音频和文件传输的加密设置可以……轻易绕过」。 它还拥有一个功能,允许用家向程式报告「政治敏感内容」,而信息与何方共享则不清楚。

程式内隐藏审查机制 词条多达2442个

报告也指出,「MY2022」隐藏审查机制,而关键字词竟多达2,442个,例如天安门或「中共邪恶」,但有关功能暂时没有运作,亦未用于阻截任何通讯。但诺克尔指出,研发该软件的国有企业「北京金融控股集团有限公司」(Beijing Financial Holdings Group),可能会在更新应用程式时启动此功能。

报告引述「MY2022」政策订明,在涉及国家安全事务和刑事调查等情况下,个人信息将在未经当事人同意下共享。加拿大奥委会已建议运动员,将个人电子设备留在家中,并限制他们带到北京的装置内储存的个人信息。

「公民实验室」曾于上月向北京奥组委报告有关安全隐患,但没有得到回应,至于有关安全漏洞不仅可能违反谷歌的垃圾软件政策和苹果的应用程式指引,还可能违反中国关于保护私隐的法律和标准。

报告建议在中国使用有关应用程式的奥运选手,应通过虚拟私人网络(VPN)服务连接上网。中国用户须使用VPN「翻墙」浏览一些网站,并增加私隐和安全性,但许多VPN已被中方堵截。

报告最后指,中国惯常使用加密技术来进行政治审查和监视,而通过该应用程式提交的健康信息,肯定会送交中国政府。