北京冬奧程式被指有安全漏洞 用戶通話信息存在被截取風險
【明報專訊】北京冬季奧運會舉行在即,加拿大一個網絡安全研究組織周二公布報告,指運動員及工作人員必須安裝的智能電話應用程式「冬奧通」(MY2022)存在嚴重安全漏洞,使用者的通話和信息有被截取的風險。
為了防止奧運期間爆發疫情,中國政府規定所有參加北京冬奧的人員,在出發前至少14天下載及使用「冬奧通」,每日申報其健康狀態,並能上傳其疫苗證明和病毒檢測結果。該程式同時包括實時聊天、檔案傳送、新聞以及天氣資料等功能。
專門研究網絡安全的多倫多「公民實驗室」(Citizen Lab) 研究員諾克爾(Jeffrey Knockel)在報告中指出,該應用程序「有一個簡單但具破壞性的缺陷,保護用戶語音音頻和文件傳輸的加密設置可以……輕易繞過」。 它還擁有一個功能,允許用家向程式報告「政治敏感內容」,而信息與何方共享則不清楚。
程式內隱藏審查機制 詞條多達2442個
報告也指出,「MY2022」隱藏審查機制,而關鍵字詞竟多達2,442個,例如天安門或「中共邪惡」,但有關功能暫時沒有運作,亦未用於阻截任何通訊。但諾克爾指出,研發該軟件的國有企業「北京金融控股集團有限公司」(Beijing Financial Holdings Group),可能會在更新應用程式時啟動此功能。
報告引述「MY2022」政策訂明,在涉及國家安全事務和刑事調查等情況下,個人信息將在未經當事人同意下共享。
加拿大奧委會已建議運動員,將個人電子設備留在家中,並限制他們帶到北京的裝置內儲存的個人信息。
「公民實驗室」曾於上月向北京奧組委報告有關安全隱患,但沒有得到回應,至於有關安全漏洞不僅可能違反谷歌的垃圾軟件政策和蘋果的應用程式指引,還可能違反中國關於保護私隱的法律和標準。
報告建議在中國使用有關應用程式的奧運選手,應通過虛擬私人網絡(VPN)服務連接上網。中國用戶須使用VPN「翻牆」瀏覽一些網站,並增加私隱和安全性,但許多VPN已被中方堵截。
報告最後指,中國慣常使用加密技術來進行政治審查和監視,而通過該應用程式提交的健康信息,肯定會送交中國政府。
北京冬奧新冠肺炎檢測門檻高 加國染疫康復運動員憂驗出陽性
【明報專訊】CBC Sports獲悉,北京奧組委正在使用較平常更為嚴格的新冠肺炎檢測標準,使加拿大運動員,特別是那些最近自新冠肺炎康復的運動... 詳情
