中國:報告稱北京冬奧應用程序存在嚴重安全漏洞
「報告稱北京冬奧會應用程序存在嚴重安全漏洞」2022年1月19日
一份新報告稱,運動員下月在中國參加冬季奧運會時必須使用的一款報告健康和出行數據的智能手機應用程序存在嚴重的加密漏洞,這讓人們對北京計劃用來跟蹤新冠病毒疫情的系統的安全性提出了質疑。
據多倫多大學網絡安全監察部門「公民實驗室」的報告,該應用程序傳輸新冠病毒檢測結果、出行信息及其他個人數據的部分沒有驗證加密傳輸中使用的簽名,或根本沒有對數據進行加密。這個實驗室還發現,該應用程序的代碼中包括一系列標記為審查對象的政治詞彙,不過它似乎並沒有啓動該詞彙表來過濾通訊內容。
中國已進入冬奧會的最後籌備階段,該國試圖通過隔絕運動員及其他參與者與更大範圍內中國人的接觸,來控制新冠病毒的傳播。這款名為「冬奧通」(MY2022)的應用程序旨在加強這些預防措施,讓政府與參與者進行電子連接,以便在出現疫情時對接觸者進行追蹤。它類似於一個基於手機應用的更廣泛健康代碼系統,在發生疫情時用來控制人口流動。
新的關切凸顯了人們對於冬奧會期間受到審查和監視的廣泛擔憂,中國擁有世界上一些最先進的監視和審查手段。官方表示,將為運動員提供讓他們繞過中國互聯網上普遍存在的屏蔽,能上Facebook、谷歌和Twitter等網站的移動數據服務。
公民實驗室在報告中寫道,它已於去年12月3日向北京奧組委披露了這些安全漏洞,但沒有收到任何回應。今年1月發佈的軟件更新並沒有解決安全漏洞問題,這很可能導致該應用程序違反了中國新頒布的個人數據保護法,也違反了谷歌和Apple的軟件商店要求上架應用程序遵守的隱私政策。
Apple和谷歌沒有立即回復記者的置評請求。[...]