北京冬奧防疫App 加密無效 還審查敏感詞
北京冬奧會要求各國選手安裝的「防疫軟體」內,卻暗藏政治審查,加拿大網路研究機構發現,這款「我的2022」(My 2022)App的加密功能形同虛設,同時還能審查所謂的「敏感詞」。
根據國際奧委會發布的北京冬奧官方手冊,所有進入北京所謂防疫「泡泡」的各國運動員、教練、記者、體育官員,以及數千名當地工作人員,都要在手機上安裝「我的2022」App,或者從網頁登記個資。
根據手冊,各國人士要在前往中國前至少14天內下載「我的2022」,從此每天報告健康狀況,上傳疫苗接種證書和COVID-19(中共病毒)測試結果。他們抵達中國後,也要每天通過該App匯報健康狀況,包括體溫。
多倫多大學「公民實驗室」(Citizen Lab)報告顯示,「我的2022」提供一系列功能,除了提交用戶的健康資訊外,還包括訊息聊天、語音聊天、文件傳輸、新聞和天氣更新等功能。
App包含災難性缺陷
專門從事數位安全研究的「公民實驗室」對「我的2022」進行分析,發現其存在安全隱患,可能導致網路入侵。
該實驗室的研究員科諾柯爾(Jeffrey Knockel)在報告中寫道,該App「有一個簡單的、但是災難性的缺陷,那就是用戶的加密傳輸內容,可以不費吹灰之力的突破。」
「我的2022」的SSL證書認證,僅在可信設備和伺服器之間傳遞訊息的協議是無效的,這意味該App存在嚴重的加密漏洞。也就是說,該App可能被與惡意主機連接,訊息可能被攔截等。
這些網路漏洞是中共故意植入的嗎?報告說,中共確實曾透過破壞加密技術,來進行政治審查和監控,也曾利用未加密的網路通訊發起攻擊。此外,中共地方政府常用數據攔截技術來探測Wi-Fi流量,以便進行監控。
「敏感詞」審查 數量逾2千個
這個App還包括一項功能,允許用戶報告所謂的「政治敏感內容」。目前尚不清楚該訊息將與誰共享。
此外,研究人員還在該App中發現了一個「敏感詞」審查表,即一個「illegalwords.txt」的文本文件,其中包括2,442個關鍵詞和短語,大部分是簡體中文,但也有很小一部分維吾爾語、藏語、正體中文和英語。
這些詞彙包括色情方面的內容,也包括大量政治或信仰方面的內容,以及涉及中共及其領導人、法輪功、六四事件、《古蘭經》、達賴喇嘛以及新疆維吾爾人的詞彙,例如「天安門」、「中共邪惡」、「胡江內鬥」、「法輪大法好」等,還包括中國國家主席習近平的名字,以及一些機構如中共的國務院、國家知識產權局等。
目前這些「敏感詞」列表當前處於休眠狀態,並未阻止任何通信。但科諾柯爾表示,「啟用這份清單的審查功能,或許是輕而易舉的事情。」
中共可隨意使用用戶個資
根據「我的2022」政策規定,中共可以在涉及「國安事務和刑事調查」的情況下,不經用戶同意就可使用其個資。
科諾柯爾建議,參賽者如果必須使用這款App,最好通過虛擬專用網路(VPN)連接到網路。
「公民實驗室」去年12月向北京奧組委通報了安全漏洞。這份報告還說,「我的2022」的安全漏洞不僅違反了谷歌和蘋果的相關政策,還違反了中共自己制定的隱私保護法律。
澳洲:將使用自備Wi-Fi
一些國家已經採取了預防措施。澳洲奧委會發言人說,「在分配給我們的區域,澳洲將提供自己的Wi-Fi,這是由我們的IT部門提供的。」
比利時已建議該國運動員不要將個人電子設備帶到中國,荷蘭運動員也收到類似警告。
加拿大奧委會在一份聲明中說,已提醒加拿大隊員,奧運會「為網路犯罪提供了一個獨特機會」,建議他們將個人設備留在家中,避免在帶到中國的設備上儲存個資。
美國已向美國運動員發出警告,他們的設備也可能被惡意軟體入侵,對往後的使用造成不明後果。
北京奧委會則稱,「這些擔憂完全沒有必要」,中共會保護公民和外國遊客的隱私和數據安全。◇