北京冬奥App被揭发 设敏感词采个人信息

加拿大专家发现北京冬奥的应用程式存在严重安全漏洞。 美联社资料图片

距离北京冬奥开幕的日子越来越近，中国当局要求所有参与北京冬奥的人，包括运动员和观众，必须使用一款名为MY2022的应用程式(App)，但多伦多大学科技实验室的研究人员在此应用程式中，发现了安全漏洞和审查框架。
公民实验室(The Citizen Lab)是多伦多大学蒙克全球事务和公共政策学院(Munk School of Global Affairs and Public Policy)中，专门研究间谍软件的机构，研究人员在MY2022应用程式中，发现了一个“简单但具有破坏性”的缺陷，使传输护照、医疗和旅行纪录的音频档案、健康和海关表格，容易受到黑客攻击。
研究人员纳克尔(Jeffrey Knockel)发现，MY2022没有经过SSL证书验证，这是在数码基础设施中使用加密方式来保护应用程序的技术，可确保在传输信息时，只有获授权者才可以接触到信息。
缺乏验证意味该应用程式，可能会盲目地连接到它误认为是可信任的恶意主机，从而允许应用程式传输到服务器的信息被拦截，且攻击者还可以向用户显示虚假指令。纳克尔说：“最糟糕的情况是有人拦截了所有传输，并记录了所有护照详细信息和所有医疗细节。”中国当局要求所有冬奥会参与者，包括运动员、观众和媒体成员，在抵达中国前至少14天，下载并开始使用MY2022应用程式，以提交健康和海关信息，例如新冠病毒测试结果和疫苗接种状态。
这个应用程序是一家名为北京金融控股集团的国有企业设计，它还提供GPS导航和文本、视频和音频聊天功能，以及传输档案和提供最新新闻和天气信息的功能。
纳克尔尚不清楚该应用程序与谁共享高度敏感的医疗信息。
奥运手册概述了个人信息（例如履历信息和健康相关数据），可能经由北京冬奥、国际奥委会与残奥会委员会、中国当局以及“参与实施新冠病毒对策的其他机构”处理。
纳克尔说，MY2022概述了在未经用户同意下，披露个人信息的几种情况，包括但不限于国家安全事务、公共卫生事件和刑事调查。但是，该应用程序没有具体说明是否需要法院命令，才能访问此信息，以及谁有资格接收数据。
他发现的另一个问题是，该应用程式允许用户报告“政治敏感内容”，并发现它有一个审查关键字的列表。该清单包括2,442个政治术语，其中一些与新疆和西藏的紧张局势或中国政府机构有关。
公民实验室于12月3日向北京奥运组委会披露了它在MY2022发现的问题，给予他们15天的时间回应和45天的时间来解决，然后才对外提及这些问题。
面向iOS用户的MY2022新版本于1月6日发布，但公民实验室发现，它非但未有解决任何问题；在更新后的版本，更引入了一个新的“绿色健康码”功能，该功能可以收集更多的医疗数据，并且仍然处于缺乏SSL证书验证而容易受到攻击的状态。
纳克尔建议所有前往奥运会的人，仅在连接到他们信任的网络时，例如虚拟专用网络 (VPN)，才使用该应用程序。

---------------------------------------------

>>>立即浏览【移民百答】栏目：新移民抵埗攻略，老华侨也未必知道的事，移民、工作、居住、食玩买、交通、报税、银行、福利、生育、教育。

>>>即读【新移民专栏】：新移民第一身经验，与你分享当下年轻移民生活日常大小事，即读“新移民专栏”。