北京冬奥会应用程序“冬奥通”存在严重安全漏洞。
参赛者们正在进行最后的旅行准备,包括按照中国卫生防疫措施的要求,安装一款名为「我的2022」(My 2022)的智能手机应用程序。但是,德国之声独家从非盈利研究机构公民实验室(Citizen Lab)获得的一份网络安全报告显示,该款程序内的加密手段并不完善,可能导致奥运选手、记者及体育官员成为黑客入侵、隐私泄露及监控行为的对象。
此外,信息技术专家们还发现这款应用程序内建一份审查关键词清单。
这一发现的披露正值国际社会对于北京冬奥数字数据安全问题的疑虑日益增长之时。出于对数字间谍行为的担心,德国、澳大利亚、英国和美国都要求本国运动员及奥委会成员将私人手机和手提电脑留在家中,在北京参与冬奥会期间仅使用具有安全措施的特殊设备。
荷兰奥委会甚至以担心监控为由,禁止运动员携带私人手机和手提电脑前往北京。
2月4日开幕的本届冬奥会将是新冠疫情期间进行的第二次奥运会。正如东京夏季奥运会期间一样,需要追踪运动员健康状况。
根据国际奥委会的官方规则手册,所有进入北京冬奥“泡泡”(将参与者与外界隔离的防疫闭环系统)运动员、教练员、记者、体育官员和数千名当地工作人员都需要通过智能手机上安装的“冬奥通“这款应用程序,或者网页输入的方式登记个人信息。
这款在中国研发的程序用来监测所有与会者和工作人员的健康状况,并在必要情况下追踪感染链。
用户必须在应用程序中输入护照和航班信息,以及与新冠症状相关的敏感医疗信息,比如是否发烧、疲劳、头痛、干咳、腹泻或喉咙痛。国外入境的人员必须在抵达中国的14天前就开始输入这些信息。
另外,在多伦多大学蒙克全球事务学院的公民实验室专门从事数字安全研究,并曾参与揭露间谍软件Pegasus的工作。该机构对「我的2022」应用程序进行分析,并发现其存在安全隐患,可能导致网络入侵。
这款应用程序的SSL证书认证——旨在确保数据传输仅在可信设备和服务器之间进行的一项协议——是无效的,意味存在著者严重的加密漏洞。其结果是,该应用程序可能被骗与恶意主机连接,允许信息被拦截,甚至恶意数据被发回给应用程序。