北京冬奥会的参赛者们正在进行最后的旅行准备,包括按照中国卫生防疫措施的要求,安装一款名为“我的2022”(My 2022)的智能手机应用程序。但是,德国之声独家从非盈利研究机构公民实验室(Citizen Lab)获得的一份网络安全报告显示,该款程序内的加密手段并不完善,可能导致奥运选手、记者及体育官员成为黑客入侵、隐私泄露及监控行为的对象。
此外,信息技术专家们还发现这款应用程序内建一份审查关键词清单。
这一发现的披露正值国际社会对于北京冬奥数字数据安全问题的疑虑日益增长之时。出于对数字间谍行为的担心,德国、澳大利亚、英国和美国都要求本国运动员及奥委会成员将私人手机和手提电脑留在家中,在北京参与冬奥会期间仅使用具有安全措施的特殊设备。
荷兰奥委会甚至以担心监控为由,禁止运动员携带私人手机和手提电脑前往北京。
“我的2022”:不仅仅是接触者追踪
2月4日开幕的本届冬奥会将是新冠疫情期间进行的第二次奥运会。正如东京夏季奥运会期间一样,需要追踪运动员健康状况。
这款在中国研发的程序用来监测所有与会者和工作人员的健康状况,并在必要情况下追踪感染链。
使用者必须在应用程序中输入护照和航班信息,以及与新冠症状相关的敏感医疗信息,比如是否发烧、疲劳、头痛、干咳、腹泻或喉咙痛。国外入境的人员必须在抵达中国的14天前就开始输入这些信息。
“我的2022”手机应用的使用界面
许多国家都使用手机应用程序进行人员接触追踪,以应对疫情。但是“我的2022”将接触追踪与其他服务结合在一起:获取赛事入场许可、包括体育场馆介绍和旅游服务的访客指南,以及(文字及音频)聊天功能、新闻推送和文件传输。
苹果应用商店中的应用说明称,“我的2022“针对不同用户群实现“一个APP走冬奥”的个性化服务。
不安全的数据传输
多伦多大学蒙克全球事务学院的公民实验室专门从事数字安全研究,并曾参与揭露间谍软件Pegasus的工作。该机构对“我的2022”应用程序进行分析,并发现其存在安全隐患,可能导致网络入侵。
这款应用程序的SSL证书认证——旨在确保数据传输仅在可信设备和服务器之间进行的一项协议——是无效的,意味存在着者严重的加密漏洞。其结果是,该应用程序可能被骗与恶意主机连接,允许信息被拦截,甚至恶意数据被发回给应用程序。
公民实验室研究员科诺科尔(Jeffrey Knockel)表示,他发现这些漏洞不仅仅与健康数据相关,也涉及到这款应用内的其他服务,包括所有文件附件处理以及音频语音信息的传送。
这位专家表示,他们同时发现这款应用内的有些服务数据传输完全不加密。这意味着黑客可以轻易读取应用内建聊天服务的元数据(metadata)。
“我们的研究发现显示,‘我的2022’应用程序的安全机制完全不足以防止敏感数据泄露给未经授权的第三方,”科诺科尔在报告中写道。
敏感词审查
此外,公民实验室的研究人员还在这款应用中发现一个名为“illegalwords.txt”的文本文件,其中包括2442个关键词和短语,大部分是简体中文,但也有很小一部分维吾尔语、藏语、繁体中文和英语。
在众多关键词中,有一些是骂人的脏话,但也有遭到中共审查的政治敏感话题:批评中共及其领导人、法轮功、六四事件、达赖喇嘛以及新疆维吾尔人。甚至维吾尔语的“古兰经”一词也在这份公民实验室审阅的清单之中。
在手机应用安全分析方面拥有丰富专业知识的公民实验室表示,没有迹象显示,目前版本的“我的2022”程序中主动使用这份敏感词列表进行审查。目前仍不清楚,为何这份列表会出现在程序中。但是研究员科诺科尔表示:“即便illegalwords.txt这份文件目前没有得到使用,‘我的2022’程序依然包含了代码功能可以读取这份文件,并将其用于审查功能,就是说要激活这份清单的审查功能可能是轻而易举的事情。”
这款软件还包括举报功能,允许用户在发现危险或可疑的聊天讯息时举报其他用户。举报理由中包括“政治敏感内容”,这一说法在中国经常被用来形容遭到审查的话题。
公民实验室:北京奥组委没有回应
公民实验室在2021年12月初秘密将其研究结果发送给2022北京冬奥组委会,这也是报告安全隐患的国际例行做法。在向公众披露其研究结果之前,公民实验室请求北京奥组委在45天内修补这些安全隐患。
科诺科尔对德国之声表示:“(北京)奥组委没有对我们的发现做出回应。”
与此同时,该程序在苹果和谷歌的应用商店上数次发布更新版本。但公民实验室网络安全专家在2022年1月17日进行的审核显示,有关安全漏洞和“禁忌词”清单没有做出任何改动。
违反法律规定
在为运动员和代表团官员制定的北京冬奥规则手册中(第61页),国际奥委会表示“我的2022”手机应用程序“符合国际标准和中国法律”。
但公民实验室认为其研究结果显示,这款软件的个人信息传输并不安全,“可能直接违反了中国有关隐私保护的法律规定”。因为根据中国数据保护法规要求,个人健康和医疗记录的数字信息必须在加密条件下传输和储存。
公民实验室的发现同时引发针对两家发布“我的2022”应用的西方技术巨头的质疑:苹果和谷歌。
“苹果和谷歌的政策都禁止应用程序在没有适当加密的前提下传输敏感数据,所以苹果和谷歌现在需要做出决定,是否下架那些没有解决安全隐患问题的手机应用,”公民实验室的科诺科尔对德国之声表示。
然而,北京奥组委依然坚持使用这款应用程序,表示其通过了谷歌、苹果和三星等国际移动应用市场的审核。“我们在应用程序内采取个人信息加密等措施来确保隐私安全,“北京奥组委周一(1月17日)对中国官媒新华社表示。