site logo: www.epochtimes.com

北京「冬奧通」App被曝加密無效 審查敏感詞

冬奧通App。(網頁擷圖)
人氣: 1500
【字號】    
   標籤: tags: , ,

【大紀元2022年01月19日訊】(大紀元記者蔡艾莎台灣台北報導)北京冬奧會要求各國選手安裝的「防疫軟體」內,卻暗藏政治審查,加拿大網絡研究機構發現,這款「冬奧通」(My 2022)App的加密功能形同虛設,同時還能審查所謂的「敏感詞」。

圖為2022北京冬奧標誌。
圖為2022北京冬奧標誌。(Jade Gao/AFP)

根據國際奧委會發布的北京冬奧官方手冊,所有進入北京所謂防疫「泡泡」的各國運動員、教練、記者、體育官員,以及數千名當地工作人員,都要在手機上安裝「冬奧通」App,或者從網頁登記個資。

根據手冊,各國人士要在前往中國前至少14天內下載「冬奧通」,從此每天報告健康狀況,上傳疫苗接種證書和COVID-19(中共病毒)測試結果。他們抵達中國後,也要每天通過該App匯報健康狀況,包括體溫。

多倫多大學「公民實驗室」(Citizen Lab)報告顯示,「冬奧通」提供一系列功能,除了提交用戶的健康資訊外,還包括訊息聊天、語音聊天、文件傳輸、新聞和天氣更新等功能。

App包含災難性缺陷

專門從事數位安全研究的「公民實驗室」對「冬奧通」進行分析,發現其存在安全隱患,可能導致網絡入侵。

該實驗室的研究員科諾柯爾(Jeffrey Knockel)在報告中寫道,該App「有一個簡單的、但是災難性的缺陷,那就是用戶的加密傳輸內容,可以被不費吹灰之力地突破」。

「冬奧通」的SSL證書認證,僅在可信設備和伺服器之間傳遞訊息的協議是無效的,這意味該App存在嚴重的加密漏洞。也就是說,該App可能被與惡意主機連接,訊息可能被攔截等。

這些網絡漏洞是中共故意植入的嗎?報告說,中共確實曾透過破壞加密技術,來進行政治審查和監控,也曾利用未加密的網絡通訊發起攻擊。此外,中共地方政府常用數據攔截技術來探測Wi-Fi流量,以便進行監控。

「敏感詞」審查 數量逾二千個

這個軟體還包括一項功能,允許用戶報告所謂的「政治敏感內容」。目前尚不清楚該訊息將與誰共享。

此外,研究人員還在該App中發現了一個「敏感詞」審查表,即一個「illegalwords.txt」的文本文件,其中包括2,442個關鍵詞和短語,大部分是簡體中文,但也有很小一部分維吾爾語、藏語、正體中文和英語。

這些詞彙包括色情方面的內容,也包括大量政治或信仰方面的內容,以及涉及中共及其領導人、法輪功、六四事件、《古蘭經》、達賴喇嘛、新疆維吾爾人的詞彙,例如「天安門」、「中共邪惡」、「胡江內鬥」、「法輪大法好」等,還包括中國國家主席習近平的名字,以及一些機構如中共的國務院、國家知識產權局等。

目前這些「敏感詞」列表處於休眠狀態,並未阻止任何通信。但科諾柯爾表示,「激活(啟用)這份清單的審查功能,或許是輕而易舉的事情。」

中共可隨意使用用戶個資

根據「冬奧通」政策規定,中共可以在涉及「國安事務和刑事調查」的情況下,不經用戶同意就可使用其個資。

科諾柯爾建議,參賽者如果必須使用這款App,最好通過虛擬專用網絡(VPN)連接到網絡。

「公民實驗室」去年12月向北京奧組委通報了安全漏洞。這份報告還說,「冬奧通」的安全漏洞不僅違反了谷歌和蘋果的相關政策,還違反了中共自己制定的隱私保護法律。

澳洲:將使用自備Wi-Fi

一些國家已經採取了預防措施。澳洲奧委會發言人說,「在分配給我們的區域,澳洲將提供自己的Wi-Fi,這是由我們的IT部門提供的。」

比利時已建議該國運動員不要將個人電子設備帶到中國,荷蘭運動員也收到類似警告。

加拿大奧委會在一份聲明中說,已提醒加拿大隊員,奧運會「為網絡犯罪提供了一個獨特機會」,建議他們將個人設備留在家中,避免在帶到中國的設備上儲存個資。

美國已向美國運動員發出警告,他們的設備也可能被惡意軟體入侵,對往後的使用造成不明後果。

北京奧委會則稱,「這些擔憂完全沒有必要」,中共會保護公民和外國遊客的隱私和數據安全。

責任編輯:呂美琪#

評論