DW獨家報導:北京冬奧app暗藏網路安全風險
2022年1月18日(德國之聲中文網)北京冬奧會的參賽者們正在進行最後的旅行準備,包括按照中國衞生防疫措施的要求,安裝一款名為「冬奧通」(My 2022/此前譯為「我的2020」)的智慧型手機應用程式。但是,德國之聲獨家從非盈利研究機構公民實驗室(Citizen Lab)獲得的一份網路安全報告顯示,該款程序內的加密手段並不完善,可能導致奧運選手、記者及體育官員成為駭客入侵、隱私洩露及監控行為的對象。
此外,訊息技術專家們還發現這款應用程式內建一份審查關鍵詞清單。
這一發現的披露正值國際社會對於北京冬奧數字數據安全問題的疑慮日益增長之時。出於對數字間諜行為的擔心,德國、澳洲、英國和美國都要求本國運動員及奧委會成員將私人手機和手提電腦留在家中,在北京參與冬奧會期間僅使用具有安全措施的特殊設備。
荷蘭奧委會甚至以擔心監控為由,禁止運動員攜帶私人手機和手提電腦前往北京。
「我的2022」:不僅僅是接觸者追蹤
2月4日開幕的本屆冬奧會將是新冠疫情期間進行的第二次奧運會。正如東京夏季奧運會期間一樣,需要追蹤運動員健康狀況。
根據國際奧委會的官方規則手冊,所有進入北京冬奧「泡泡」(將參與者與外界隔離的防疫閉環系統)運動員、教練員、記者、體育官員和數千名當地工作人員都需要通过智慧型手機上安裝的「冬奧通「這款應用程式,或者網頁輸入的方式登記個人訊息。
這款在中國研發的程序用來監測所有與會者和工作人員的健康狀況,並在必要情況下追蹤感染鏈。
使用者必須在應用程式中輸入護照和航班訊息,以及與新冠症狀相關的敏感醫療訊息,比如是否發燒、疲勞、頭痛、乾咳、腹瀉或喉嚨痛。國外入境的人員必須在抵達中國的14天前就開始輸入這些訊息。
許多國家都使用手机應用程式進行人員接觸追蹤,以應對疫情。但是「冬奧通」將接觸追蹤與其他服務結合在一起:獲取賽事入場許可、包括體育場館介紹和旅遊服務的訪客指南,以及(文字及音頻)聊天功能、新聞推送和文件傳輸。
蘋果應用商店中的應用說明稱,「冬奧通「針對不同用戶群實現「一個APP走冬奧」的個性化服務。
不安全的數據傳輸
多倫多大學蒙克全球事務學院的公民實驗室專門從事數字安全研究,並曾參與揭露間諜軟體Pegasus的工作。該機構對「冬奧通”應用程式進行分析,併發現其存在安全隱患,可能導致網路入侵。
這款應用程式的SSL證書認證——旨在確保數據傳輸僅在可信設備和伺服器之間進行的一項協議——是無效的,意味存在著者嚴重的加密漏洞。其結果是,该應用程式可能被騙與惡意主機連接,允許訊息被攔截,甚至惡意數據被發回给應用程式。
公民實驗室研究員科諾柯爾(Jeffrey Knockel)表示,他發現這些漏洞不僅僅與健康數據相關,也涉及到這款應用內的其他服務,包括所有文件附件處理以及音頻語音訊息的傳送。
這位專家表示,他們同時發現這款應用內的有些服務數據傳輸完全不加密。這意味著駭客可以輕易讀取應用內建聊天服務的元數據(metadata)。
「我們的研究發現顯示,『冬奧通’應用程式的安全機制完全不足以防止敏感數據洩露給未經授權的第三方,」科諾柯爾在報告中寫道。
敏感詞審查
此外,公民實驗室的研究人員還在這款應用中發現一個名為「illegalwords.txt」的文本文件,其中包括2442個關鍵詞和短語,大部分是簡體中文,但也有很小一部分維吾爾語、藏語、繁體中文和英語。
在眾多關鍵詞中,有一些是罵人的髒話,但也有遭到中共審查的政治敏感話題:批評中共及其領導人、法輪功、六四事件、達賴喇嘛以及新疆維吾爾人。甚至維吾爾語的「古蘭經」一詞也在這份公民實驗室審閱的清單之中。
在手機應用安全分析方面擁有豐富專業知識的公民實驗室表示,沒有跡象顯示,目前版本的「冬奧通」程序中主動使用這份敏感詞列表進行審查。目前仍不清楚,為何這份列表會出現在程序中。但是研究員科諾柯爾表示:「即便illegalwords.txt這份文件目前沒有得到使用,『冬奧通』程序依然包含了代碼功能可以讀取這份文件,並將其用於審查功能,就是說要激活這份清單的審查功能可能是輕而易舉的事情。」
這款軟體還包括舉報功能,允許用戶在發現危險或可疑的聊天訊息時舉報其他用戶。舉報理由中包括「政治敏感內容」,這一說法在中國經常被用來形容遭到審查的話題。
公民實驗室:北京奧組委沒有回應
公民實驗室在2021年12月初秘密將其研究結果發送給2022北京冬奧組委會,這也是報告安全隱患的國際例行做法。在向公眾披露其研究結果之前,公民實驗室請求北京奧組委在45天內修補這些安全隱患。
科諾柯爾對德國之聲表示:「(北京)奧組委沒有對我們的發現做出回應。」
與此同時,該程序在蘋果和谷歌的應用商店上數次發布更新版本。但公民實驗室網路安全專家在2022年1月17日進行的審核顯示,有關安全漏洞和「禁忌詞」清單沒有做出任何改動。
違反法律規定
在為運動員和代表團官員制定的北京冬奧規則手冊中(第61頁),國際奧委會表示「冬奧通」手机應用程式「符合國際標準和中國法律」。
但公民實驗室認為其研究結果顯示,這款軟體的個人訊息傳輸並不安全,「可能直接違反了中國有關隱私保護的法律規定」。因為根據中國數據保護法規要求,個人健康和醫療記錄的數字訊息必須在加密條件下傳輸和儲存。
公民實驗室的發現同時引發針對兩家發布「冬奧通」應用的西方技術巨頭的質疑:蘋果和谷歌。
「蘋果和谷歌的政策都禁止應用程式在沒有適當加密的前提下傳輸敏感數據,所以蘋果和谷歌現在需要做出決定,是否下架那些沒有解決安全隱患問題的手機應用,」公民實驗室的科諾柯爾對德國之聲表示。
然而,北京奧組委依然堅持使用這款應用程式,表示其通過了谷歌、蘋果和三星等國際移動應用市場的審核。「我們在應用程式內採取個人訊息加密等措施來確保隱私安全,「北京奧組委周一(1月17日)對中國官媒新華社表示。
© 2022年德國之聲版權聲明:本文所有內容受到著作權法保護,如無德國之聲特別授權,不得擅自使用。任何不當行為都將導致追償,並受到刑事追究。