【大纪元2022年01月19日讯】(大纪元记者周行多伦多报导)多伦多大学公民实验室(Citizen Lab)做的一项分析发现,北京冬奥会要求参与者必须安装的一款手机应用程序,对个人信息构成严重的安全风险,而且存在言论审查隐忧。
公民实验室在周二发布的这份报告,详细说明了研究人员对这款名为MY2022(冬奥通)应用程序的主要担忧。
根据中共政府关于奥运会的官方指南,MY2022是由北京奥组委为2022年奥运会准备的。公开记录和应用程序商店的信息显示,该手机程序属于名为北京金融控股集团(Beijing Financial Holdings Group)的国有企业所有。
MY2022的功能包括旅游推荐、GPS导航和与COVID-19相关的健康监测等等。健康监测功能收集一系列医疗信息,包括用户每日自我报告的健康状况、COVID-19疫苗接种状况和实验室检测结果等等。
公民实验室提到他们要做此分析的背景:中共政府要求所有国际和国内的奥运会参与者必须在出发前14天下载MY2022,并开始每天监测他们的健康状况并将其提交到应用程序。
不验证SSL证书
“MY2022有一个简单但具有破坏性的缺陷——可以轻松避开保护用户语音音频和文件传输的加密。”公民实验室的报告写道,“传输护照详细信息、人口统计信息、医疗和旅行历史的海关健康表格,也很容易受到攻击。服务器响应也可以被欺骗,从而允许网络攻击者向用户显示虚假指令。”
按公民实验室的解释,当客户端使用SSL连接到服务器时,SSL使用加密和数字签名技术为传输中的数据提供隐私保护,免于在传输过程中被第三方读取或修改。但是,客户有可能被骗连接到有恶意的服务器,这就需要有SSL证书验证。
为了验证服务器的真实性,SSL提供了一种安全接收和验证证书的方法。通过验证证书,客户端可以确保数据不仅在传输过程中受到保护,而且不会选错了发送和接受数据的服务器。
“我们的分析发现,MY2022不验证一些SSL证书,从而允许网络攻击者通过干扰应用程序与这些服务器之间的通信,来冒名顶替受信任的服务器。”该报告说,不验证SSL证书意味着应用程序可能被欺骗连接到一个有恶意的电脑,并误认为它是可信的服务器,向其发送个人信息及接受来自它的信息。
敏感信息无加密处理
公民实验室发现MY2022,不但有不验证SSL证书的问题,有些信息传输还完全无加密处理。
该报告说:“我们也发现一些敏感数据是在没有任何SSL加密或任何安全措施的情况下传输的。我们发现,MY2022通过8099端口,向‘tmail.beijing2022.cn’传输非加密数据。”
这些被传输的非加密数据,包含了敏感的信息,比如消息发送者和接收者的名字及其用户账户标识符。报告说:“这些数据可以被任何被动的窃听者读取,例如处于不安全wifi接入点范围内的人、操作wifi的人、互联网服务提供商或其他电信公司。”
公民实验室表示,2021年12月3日,他们向北京2022年冬奥会和冬残奥会组委会披露了所发现的MY2022安全问题,并给了对方15天时间做出回应;45天时间解决所发现的问题。
“截至2022年1月18日,我们尚未收到回应。”报告的作者杰弗里·诺克尔(Jeffrey Knockel)说。
另外,该报告说,2022年1月17日,MY2022的开发者将其iOS版的2.0.5版本在苹果应用程序店发布。研究人员分析了该新版本,发现公民实验室之前报告的问题并未解决。
公民实验室的报告说,MY2022明言收集的数据包括一系列高度敏感的医疗信息,目前尚不清楚它与谁或哪个组织共享这些信息。
涉言论审查
“MY2022包括允许用户举报‘政治敏感’内容的功能。”该报告说,“该应用程序还包括一个审查关键字列表,虽然该列表目前不活跃,但其针对各种政治话题,包括新疆和西藏等问题。”
研究人员发现了一个名为“illegalwords.txt”的文件,其中包含2,442个在中国通常被认为敏感的关键字。比如“中共邪恶“、“江胡内斗”、“法轮大法好”、“习近平”,还有看起来挺别扭的“捌玖陆肆纪念”。
意图分析
对于为何要求奥运会所有参与者必须安装的手机应用程序,存在如此严重的安全问题,分析人员表示,中国有通过降低加密要求以方便政治审查和监视,以及利用未加密的网络通信发起中间人攻击的历史。此外,地方政府经常使用数据拦截技术测量wifi流量以进行监控。
“因此,有理由质疑此应用程序中的加密缺陷是出于监视目的,而不是源于开发人员的疏忽。”该报告说。
报告表示,目前尚不清楚MY2022中显然是用来审查言论的关键字列表为何处于不活跃状态。一方面,可能是开发人员的疏忽。另一方面,审查停用可能是故意行为,目的是向外界隐瞒中国言论审查的严重性;或迫于国际奥委会之前在限制审查方面施加的压力。
对于这次的发现,研究人员表示,他们感到担忧,但不惊讶。因为中共政权多年来都不重视保护个人信息。
责任编辑:岳怡
