北京冬奧App被揭發 設敏感詞採個人信息

加拿大專家發現北京冬奧的應用程式存在嚴重安全漏洞。 美聯社資料圖片

距離北京冬奧開幕的日子越來越近，中國當局要求所有參與北京冬奧的人，包括運動員和觀眾，必須使用一款名為MY2022的應用程式(App)，但多倫多大學科技實驗室的研究人員在此應用程式中，發現了安全漏洞和審查框架。
公民實驗室(The Citizen Lab)是多倫多大學蒙克全球事務和公共政策學院(Munk School of Global Affairs and Public Policy)中，專門研究間諜軟件的機構，研究人員在MY2022應用程式中，發現了一個「簡單但具有破壞性」的缺陷，使傳輸護照、醫療和旅行紀錄的音頻檔案、健康和海關表格，容易受到黑客攻擊。
研究人員納克爾(Jeffrey Knockel)發現，MY2022沒有經過SSL證書驗證，這是在數碼基礎設施中使用加密方式來保護應用程序的技術，可確保在傳輸信息時，只有獲授權者才可以接觸到信息。
缺乏驗證意味該應用程式，可能會盲目地連接到它誤認為是可信任的惡意主機，從而允許應用程式傳輸到服務器的信息被攔截，且攻擊者還可以向用戶顯示虛假指令。納克爾說：「最糟糕的情況是有人攔截了所有傳輸，並記錄了所有護照詳細信息和所有醫療細節。」中國當局要求所有冬奧會參與者，包括運動員、觀眾和媒體成員，在抵達中國前至少14天，下載並開始使用MY2022應用程式，以提交健康和海關信息，例如新冠病毒測試結果和疫苗接種狀態。
這個應用程序是一家名為北京金融控股集團的國有企業設計，它還提供GPS導航和文本、視頻和音頻聊天功能，以及傳輸檔案和提供最新新聞和天氣信息的功能。
納克爾尚不清楚該應用程序與誰共享高度敏感的醫療信息。
奧運手冊概述了個人信息（例如履歷信息和健康相關數據），可能經由北京冬奧、國際奧委會與殘奧會委員會、中國當局以及「參與實施新冠病毒對策的其他機構」處理。
納克爾說，MY2022概述了在未經用戶同意下，披露個人信息的幾種情況，包括但不限於國家安全事務、公共衛生事件和刑事調查。但是，該應用程序沒有具體說明是否需要法院命令，才能訪問此信息，以及誰有資格接收數據。
他發現的另一個問題是，該應用程式允許用戶報告「政治敏感內容」，並發現它有一個審查關鍵字的列表。該清單包括2,442個政治術語，其中一些與新疆和西藏的緊張局勢或中國政府機構有關。
公民實驗室於12月3日向北京奧運組委會披露了它在MY2022發現的問題，給予他們15天的時間回應和45天的時間來解決，然後才對外提及這些問題。
面向iOS用戶的MY2022新版本於1月6日發布，但公民實驗室發現，它非但未有解決任何問題；在更新後的版本，更引入了一個新的「綠色健康碼」功能，該功能可以收集更多的醫療數據，並且仍然處於缺乏SSL證書驗證而容易受到攻擊的狀態。
納克爾建議所有前往奧運會的人，僅在連接到他們信任的網絡時，例如虛擬專用網絡 (VPN)，才使用該應用程序。

---------------------------------------------

>>>立即瀏覽【移民百答】欄目：新移民抵埗攻略，老華僑也未必知道的事，移民、工作、居住、食玩買、交通、報稅、銀行、福利、生育、教育。

>>>即讀【新移民專欄】：新移民第一身經驗，與你分享當下年輕移民生活日常大小事，即讀「新移民專欄」。