這款應用程式的SSL證書認證——旨在確保數據傳輸僅在可信設備和伺服器之間進行的一項協議——是無效的,意味存在著者嚴重的加密漏洞。其結果是,該應用程式可能被騙與惡意主機連接,允許資訊被攔截,甚至惡意數據被發回給應用程式。
公民實驗室研究員科諾科爾(Jeffrey Knockel)表示,他發現這些漏洞不僅僅與健康數據相關,也涉及到這款應用內的其他服務,包括所有文件附件處理以及語音資訊的傳送。
這位專家表示,他們同時發現這款應用內的有些服務數據傳輸完全不加密。這意味著駭客可以輕易讀取應用內建聊天服務的元數據(metadata)。
「我們的研究發現顯示,『冬奧通』應用程式的安全機制完全不足以防止敏感數據洩露給未經授權的第三方,」科諾科爾在報告中寫道。
敏感詞審查
此外,公民實驗室的研究人員還在這款應用中發現一個名為「illegalwords.txt」的文本文件,其中包括2442個關鍵詞和短語,大部分是簡體中文,但也有很小一部分維吾爾語、藏語、繁體中文和英語。
在眾多關鍵詞中,有一些是罵人的髒話,但也有遭到中共審查的政治敏感話題:批評中共及其領導人、法輪功、六四事件、達賴喇嘛以及新疆維吾爾人。甚至維吾爾語的「古蘭經」一詞也在這份公民實驗室審閱的清單之中。
在手機應用安全分析方面擁有豐富專業知識的公民實驗室表示,沒有跡象顯示,目前版本的「冬奧通」程式中主動使用這份敏感詞列表進行審查。目前仍不清楚,為何這份列表會出現在程式中。但是研究員科諾科爾表示:「即便illegalwords.txt這份文件目前沒有得到使用,『冬奧通』程式依然包含了代碼功能可以讀取這份文件,並將其用於審查功能,就是說要啟動這份清單的審查功能可能是輕而易舉的事情。」
這款軟體還包括舉報功能,允許用戶在發現危險或可疑的聊天訊息時舉報其他用戶。舉報理由中包括「政治敏感內容」,這一說法在中國經常被用來形容遭到審查的話題。
公民實驗室:北京奧組委沒有回應
公民實驗室在2021年12月初秘密將其研究結果發送給2022北京冬奧組委會,這也是報告安全隱患的國際例行做法。在向公眾披露其研究結果之前,公民實驗室請求北京奧組委在45天內修補這些安全隱患。
科諾科爾對德國之聲表示:「(北京)奧組委沒有對我們的發現做出回應。」
與此同時,該程式在蘋果和谷歌的應用商店上數次發布更新版本。但公民實驗室網路安全專家在2022年1月17日進行的審核顯示,有關安全漏洞和「禁忌詞」清單沒有做出任何改動。
違反法律規定
在為運動員和代表團官員制定的北京冬奧規則手冊中(第61頁),國際奧委會表示「冬奧通」手機應用程式「符合國際標準和中國法律」。
但公民實驗室認為其研究結果顯示,這款軟體的個人資訊傳輸並不安全,「可能直接違反了中國有關隱私保護的法律規定」。因為根據中國數據保護法規要求,個人健康和醫療記錄的數位資訊必須在加密條件下傳輸和儲存。
公民實驗室的發現同時引發針對兩家發布「冬奧通」應用的西方技術巨頭的質疑:蘋果和谷歌。
「蘋果和谷歌的政策都禁止應用程式在沒有適當加密的前提下傳輸敏感數據,所以蘋果和谷歌現在需要做出決定,是否下架那些沒有解決安全隱患問題的手機應用,」公民實驗室的科諾科爾對德國之聲表示。
然而,北京奧組委依然堅持使用這款應用程式,表示其通過了谷歌、蘋果和三星等國際移動應用市場的審核。「我們在應用程式內採取個人資訊加密等措施來確保隱私安全,「北京奧組委周一(1月17日)對中國官媒新華社表示。
© 2022年德國之聲版權聲明:本文所有內容受到著作權法保護,如無德國之聲特別授權,不得擅自使用。任何不當行為都將導致追償,並受到刑事追究。
