加拿大专家发现北京冬奥的App 存在严重安全漏洞

【星岛综合报道】距离北京冬奥开幕的日子越来越近了，中国当局要求参与北京冬奥所有人员都必须使用一款名为MY2022的应用程序(App)，但多伦多大学科技实验室的研究人员在此App中发现了安全漏洞和审查框架。

公民实验室(The Citizen Lab)是多伦多大学蒙克全球事务和公共政策学院研究专门研究间谍软件的机构，它在MY2022应用程序中发现了一个「简单但具有破坏性」的缺陷，该缺陷使音频文件、健康和海关表格传输护照、医疗纪录和旅行历史等都易受黑客攻击。

研究人员纳克尔(Jeffrey Knockel)发现MY2022没有经过SSL证书验证，这是在数字基础设施中使用加密方式来保护应用程序，并确保在传输信息时一定要是经授权的人才可以访问信息。

缺乏验证代表该应用程序可能会盲目地连接到它误认为是受信任的恶意主机，从而允许应用程序传输到服务器的信息被拦截，且攻击者还可以向用户显示虚假指令。纳克尔说：「最糟糕的情况是有人拦截了所有流量并记录了所有护照详细信息和所有医疗细节。」

中国当局要求所有奥运会参与者，包括运动员、观众和媒体成员，在抵达中国前至少14天下载并开始使用MY2022应用程序提交健康和海关信息，例如新冠状病毒测试结果和疫苗接种状态。

这个应用程序是一家名为北京金融控股集团的国有企业所设计的，它还提供GPS导航和文本、视频和音频聊天功能，以及传输文件和提供最新新闻和天气的能力。

纳克尔尚不清楚该应用程序与谁共享高度敏感的医疗信息。

奥运手册概述了个人数据（例如传记信息和健康相关数据）可能由北京和国际奥委会与残奥会委员会、中国当局以及「参与实施新冠病毒对策的其他机构」处理。

纳克尔说，MY2022概述了在未经用户同意的情况下披露个人信息的几种情况，包括但不限于国家安全事务、公共卫生事件和刑事调查。但是，该应用程序没有具体说明是否需要法院命令才能访问此信息以及谁有资格接收数据。

他发现的最后一个问题是，该应用程序允许用户报告「政治敏感内容」，并发现它有一个审查关键字的列表。该清单包括2,442个政治术语，其中一些与新疆和西藏的紧张局势有关，和中国政府机构也有关。

公民实验室于12月3日向北京奥运组委会披露了它对MY2022发现的问题，给予他们15天的时间回应和45天的时间来解决问题，然后才对外提及这些问题。

面向iOS用户的MY2022新版本于1月6日发布，但公民实验室发现并没有解决任何问题。事实上，更新后的版本还引入了一个新的「绿色健康码」功能，该功能可以收集更多的医疗数据，仍然处于缺乏SSL证书验证而容易受到攻击的状态。

纳克尔建议前往奥运会的任何人，仅连接到他们信任的网络时才使用该应用程序，例如虚拟专用网络 (VPN)。

图：CTV

v01