加拿大專家發現北京冬奧的App 存在嚴重安全漏洞

【星島綜合報道】距離北京冬奧開幕的日子越來越近了，中國當局要求參與北京冬奧所有人員都必須使用一款名為MY2022的應用程序(App)，但多倫多大學科技實驗室的研究人員在此App中發現了安全漏洞和審查框架。

公民實驗室(The Citizen Lab)是多倫多大學蒙克全球事務和公共政策學院研究專門研究間諜軟件的機構，它在MY2022應用程序中發現了一個「簡單但具有破壞性」的缺陷，該缺陷使音頻文件、健康和海關表格傳輸護照、醫療紀錄和旅行歷史等都易受黑客攻擊。

研究人員納克爾(Jeffrey Knockel)發現MY2022沒有經過SSL證書驗證，這是在數字基礎設施中使用加密方式來保護應用程序，並確保在傳輸信息時一定要是經授權的人才可以訪問信息。

缺乏驗證代表該應用程序可能會盲目地連接到它誤認為是受信任的惡意主機，從而允許應用程序傳輸到服務器的信息被攔截，且攻擊者還可以向用戶顯示虛假指令。納克爾說：「最糟糕的情況是有人攔截了所有流量並記錄了所有護照詳細信息和所有醫療細節。」

中國當局要求所有奧運會參與者，包括運動員、觀眾和媒體成員，在抵達中國前至少14天下載並開始使用MY2022應用程序提交健康和海關信息，例如新冠狀病毒測試結果和疫苗接種狀態。

這個應用程序是一家名為北京金融控股集團的國有企業所設計的，它還提供GPS導航和文本、視頻和音頻聊天功能，以及傳輸文件和提供最新新聞和天氣的能力。

納克爾尚不清楚該應用程序與誰共享高度敏感的醫療信息。

奧運手冊概述了個人數據（例如傳記信息和健康相關數據）可能由北京和國際奧委會與殘奧會委員會、中國當局以及「參與實施新冠病毒對策的其他機構」處理。

納克爾說，MY2022概述了在未經用戶同意的情況下披露個人信息的幾種情況，包括但不限於國家安全事務、公共衛生事件和刑事調查。但是，該應用程序沒有具體說明是否需要法院命令才能訪問此信息以及誰有資格接收數據。

他發現的最後一個問題是，該應用程序允許用戶報告「政治敏感內容」，並發現它有一個審查關鍵字的列表。該清單包括2,442個政治術語，其中一些與新疆和西藏的緊張局勢有關，和中國政府機構也有關。

公民實驗室於12月3日向北京奧運組委會披露了它對MY2022發現的問題，給予他們15天的時間回應和45天的時間來解決問題，然後才對外提及這些問題。

面向iOS用戶的MY2022新版本於1月6日發布，但公民實驗室發現並沒有解決任何問題。事實上，更新後的版本還引入了一個新的「綠色健康碼」功能，該功能可以收集更多的醫療數據，仍然處於缺乏SSL證書驗證而容易受到攻擊的狀態。

納克爾建議前往奧運會的任何人，僅連接到他們信任的網絡時才使用該應用程序，例如虛擬專用網絡 (VPN)。

圖：CTV

v01

---------------------------------------------

>>>立即瀏覽【移民百答】欄目：新移民抵埗攻略，老華僑也未必知道的事，移民、工作、居住、食玩買、交通、報稅、銀行、福利、生育、教育。

>>>即讀【新移民專欄】：新移民第一身經驗，與你分享當下年輕移民生活日常大小事，即讀「新移民專欄」。