公民實驗室警告 北京冬奧App存在安全漏洞

·2 分鐘 (閱讀時間)

(中央社北京18日綜合外電報導)北京冬季奧運主辦方要求所有參與者,包括運動員、觀眾和媒體安裝名為「冬奧通」的App記錄個人健康狀況,但網路研究機構公民實驗室警告,這款App存在安全隱憂。

英國廣播公司新聞網(BBC News)報導,冬奧通( My2022)App提供語音聊天、檔案傳輸和北京冬奧新聞的服務,但公民實驗室(Citizen Lab)的報告指出,冬奧通有一個安全漏洞,也就是它用於加密用戶語音音訊和文件傳輸的加密技術可以輕易被繞過。

這份報告發布的同時,國際社會也對將於2月4日登場的北京冬奧資訊安全問題的疑慮日益增長。

許多專家建議,參加北京冬奧的人應該帶拋棄式手機,以及創設專屬在中國這段期間使用的電子郵件帳號。

公民實驗室報告作者表示,他們也發現App中建有審查關鍵詞清單列表,還有舉報功能,允許用戶舉報其他政治敏感內容。

分析人員指出,這些功能和安全漏洞對於在中國運作的App來說並不異常,但卻對用戶帶來風險。審查列表檔案目前似乎未被啟用,不過一切都還不清楚。

含有2442個關鍵詞的清單中主要與政治相關,或是罵人的髒話和非法物品。大多是簡體中文,但有部分是藏語、維吾爾語和英語。

清單中包含中國領導人姓名、政府機關,還有天安門事件,以及在中國被禁的宗教團體法輪功。

分析人員表示,這份清單和舉報鍵都是中國使用或開發許多受歡迎App中常見的功能,但這可能造成「不透明內容遭刪除和他人惡意舉報」。

所有北京冬奧參與者都被要求,在抵達中國的14天前就下載這款App來記錄個人健康狀況。外國訪客也需要上傳早已遞交給中國政府的敏感資訊,像是護照中詳細的個人資料、旅遊史和醫療紀錄。

公民實驗室表示,如果用戶成為鎖定目標,駭客可能會輕鬆利用這款軟體的傳輸漏洞竊取資料。

公民實驗室也發現這款App的安全漏洞,不僅可能違反Google的不受歡迎軟體政策和蘋果(Apple)應用程式商店指南,而且也可能違反中國自己的法律和有關隱私保護的國家標準。針對這些規定,相關負責公司可能會在未來修復這些隱私和安全漏洞。

分析人員也指出,這款App的SSL數位安全憑證是無效的,部分資料在沒有任何SSL保護或加密的情況下進行傳輸。(譯者:陳昱婷/核稿:劉淑琴)1110118