加拿大網路監控組織「公民實驗室」(Citizen Lab)昨(18)日刊出報告,指出北京冬季奧運主辦方要求選手、所有參與者在手機內安裝的冬奧通(My2022)App存在嚴重安全漏洞。

綜合英國廣播公司(BBC)、美聯社報導,北京冬季奧運即將在2月4日登場,北京要求包括選手、教練、記者等所有參與者在抵達前14日,就要在手機上安裝冬奧通App,冬奧通能讓使用者回報每日健康狀況,以讓主辦單位在冬奧舉行期間能繼續監控新冠疫情。除了回報健康狀況,這款App還提供聊天、傳檔、天氣動態、旅遊建議,甚至GPS導航服務。

不過「公民實驗室」昨日發布報告指出,冬奧通在加密方面有嚴重漏洞,會讓用戶的個人敏感資料及其他透過App交流的資訊更容易被入侵,App上的其他個人重要資訊也未加密,這代表大陸的網路供應商、電信公司能夠透過旅館、機場、奧運場館的Wi-Fi讀取這些資訊。

不過公民實驗室也指出,沒有證據顯示北京政府刻意安排這些資安漏洞,一方面是因為App上存放的敏感健康資訊必須直接上傳至主管機構。

報告也指出,這些資安漏洞輕易就能發現,同時也和其他大陸網站瀏覽器存在的資安漏洞類似,報告寫道,「對用戶資訊的保護不足普遍存在於中國App的生態系統」,還指出,關於冬奧通的調查結果雖然「令人擔憂」,「但並不令人驚訝。」

除此之外,報告也提到,冬奧通的安全漏洞可能會違反Google及蘋果(Apple)的軟體政策;Android作業系統的冬奧通還發現一個名為「illegalwords.txt」的關鍵字清單列表,上頭羅列2442個關鍵字,包括和新疆有關的敏感字詞,不過報告指出,這份清單似乎未被啟用。

公民實驗室說,已經在2021年底將這些資安問題通知北京奧組委,不過並未收到回覆。

目前許多國家已經建議選手不要攜帶自己常用的智慧型手機到大陸,而是攜帶拋棄式手機。

例如,美國奧林匹克暨帕拉林匹克委員會(United States Olympic and Paralympic Committee,USOPC)發布指南,建議運動員「假設所有裝置、所有通訊、交易及網路行動都會被監控」。

資安公司Internet 2.0也建議參與者在中國期間額外開設電子郵件帳號。

#北京 #冬季奧運 #App #冬奧 #資安 #漏洞 #嚴重 #Citizen Lab #公民實驗室 #冬奧通 #My2022 #刻意