北京冬奧會的參賽者們正在進行最後的旅行準備,包括按照中國衛生防疫措施的要求,安裝一款名為「我的2022」(My2022)的智能手機應用程式。但是,德國之聲獨家從非盈利研究機構公民實驗室(Citizen Lab)獲得的一份網絡安全報告顯示,該款程序內的加密手段並不完善,可能導致奧運選手、記者及體育官員成為黑客入侵、私隱泄露及監控行為的對象。
此外,信息技術專家們還發現這款應用程式內建一份審查關鍵詞清單。
這一發現的披露正值國際社會對於北京冬奧數字數據安全問題的疑慮日益增長之時。出於對數字間諜行為的擔心,德國、澳大利亞、英國和美國都要求本國運動員及奧委會成員將私人手機和手提電腦留在家中,在北京參與冬奧會期間僅使用具有安全措施的特殊設備。
荷蘭奧委會甚至以擔心監控為由,禁止運動員攜帶私人手機和手提電腦前往北京。
「我的2022」:不僅僅是接觸者追蹤
2月4日開幕的本屆冬奧會將是新冠疫情期間進行的第二次奧運會。正如東京夏季奧運會期間一樣,需要追蹤運動員健康狀況。
根據國際奧委會的官方規則手冊,所有進入北京冬奧「泡泡」(將參與者與外界隔離的防疫閉環系統)運動員、教練員、記者、體育官員和數千名當地工作人員都需要通過智能手機上安裝的「我的2022「這款應用程式,或者網頁輸入的方式登記個人信息。
這款在中國研發的程序用來監測所有與會者和工作人員的健康狀況,並在必要情況下追蹤感染鏈。
使用者必須在應用程式中輸入護照和航班信息,以及與新冠症狀相關的敏感醫療信息,比如是否發燒、疲勞、頭痛、乾咳、腹瀉或喉嚨痛。國外入境的人員必須在抵達中國的14天前就開始輸入這些信息。
「我的2022」手機應用的使用界面
許多國家都使用手機應用程式進行人員接觸追蹤,以應對疫情。但是「我的2022」將接觸追蹤與其他服務結合在一起:獲取賽事入場許可、包括體育場館介紹和旅遊服務的訪客指南,以及(文字及音頻)聊天功能、新聞推送和文件傳輸。
蘋果應用商店中的應用說明稱,「我的2022「針對不同用戶群實現「一個APP走冬奧」的個性化服務。
不安全的數據傳輸
多倫多大學蒙克全球事務學院的公民實驗室專門從事數字安全研究,並曾參與揭露間諜軟件Pegasus的工作。該機構對「我的2022」應用程式進行分析,並發現其存在安全隱患,可能導致網絡入侵。
這款應用程式的SSL證書認證——旨在確保數據傳輸僅在可信設備和伺服器之間進行的一項協議——是無效的,意味存在着者嚴重的加密漏洞。其結果是,該應用程式可能被騙與惡意主機連接,允許信息被攔截,甚至惡意數據被發回給應用程式。
公民實驗室研究員科諾科爾(Jeffrey Knockel)表示,他發現這些漏洞不僅僅與健康數據相關,也涉及到這款應用內的其他服務,包括所有文件附件處理以及音頻語音信息的傳送。
這位專家表示,他們同時發現這款應用內的有些服務數據傳輸完全不加密。這意味着黑客可以輕易讀取應用內建聊天服務的元數據(metadata)。
「我們的研究發現顯示,『我的2022』應用程式的安全機制完全不足以防止敏感數據泄露給未經授權的第三方,」科諾科爾在報告中寫道。
敏感詞審查
此外,公民實驗室的研究人員還在這款應用中發現一個名為「illegalwords.txt」的文本文件,其中包括2442個關鍵詞和短語,大部分是簡體中文,但也有很小一部分維吾爾語、藏語、繁體中文和英語。
在眾多關鍵詞中,有一些是罵人的髒話,但也有遭到中共審查的政治敏感話題:批評中共及其領導人、法輪功、六四事件、達賴喇嘛以及新疆維吾爾人。甚至維吾爾語的「古蘭經」一詞也在這份公民實驗室審閱的清單之中。
在手機應用安全分析方面擁有豐富專業知識的公民實驗室表示,沒有跡象顯示,目前版本的「我的2022」程序中主動使用這份敏感詞列表進行審查。目前仍不清楚,為何這份列表會出現在程序中。但是研究員科諾科爾表示:「即便illegalwords.txt這份文件目前沒有得到使用,『我的2022』程序依然包含了代碼功能可以讀取這份文件,並將其用於審查功能,就是說要激活這份清單的審查功能可能是輕而易舉的事情。」
這款軟件還包括舉報功能,允許用戶在發現危險或可疑的聊天信息時舉報其他用戶。舉報理由中包括「政治敏感內容」,這一說法在中國經常被用來形容遭到審查的話題。
公民實驗室:北京奧組委沒有回應
公民實驗室在2021年12月初秘密將其研究結果發送給2022北京冬奧組委會,這也是報告安全隱患的國際例行做法。在向公眾披露其研究結果之前,公民實驗室請求北京奧組委在45天內修補這些安全隱患。
科諾科爾對德國之聲表示:「(北京)奧組委沒有對我們的發現做出回應。」
與此同時,該程序在蘋果和谷歌的應用商店上數次發佈更新版本。但公民實驗室網絡安全專家在2022年1月17日進行的審核顯示,有關安全漏洞和「禁忌詞」清單沒有做出任何改動。
違反法律規定
在為運動員和代表團官員制定的北京冬奧規則手冊中(第61頁),國際奧委會表示「我的2022」手機應用程式「符合國際標準和中國法律」。
但公民實驗室認為其研究結果顯示,這款軟件的個人信息傳輸並不安全,「可能直接違反了中國有關私隱保護的法律規定」。因為根據中國數據保護法規要求,個人健康和醫療記錄的數字信息必須在加密條件下傳輸和儲存。
公民實驗室的發現同時引發針對兩家發佈「我的2022」應用的西方技術巨頭的質疑:蘋果和谷歌。
「蘋果和谷歌的政策都禁止應用程式在沒有適當加密的前提下傳輸敏感數據,所以蘋果和谷歌現在需要做出決定,是否下架那些沒有解決安全隱患問題的手機應用,」公民實驗室的科諾科爾對德國之聲表示。
然而,北京奧組委依然堅持使用這款應用程式,表示其通過了谷歌、蘋果和三星等國際移動應用市場的審核。「我們在應用程式內採取個人信息加密等措施來確保私隱安全,「北京奧組委周一(1月17日)對中國官媒新華社表示。
