多伦多公民实验室:冬奥通APP存在严重安全漏洞

撰稿:日本东京方舟农场  老孙

(图片取自德国之声)


1月18日加拿大多伦多大学公民实验室(Citizen Lab)发布研究报告披露,在冬奥会官方软件冬奥通中,发现该应用在数据加密功能中存在严重漏洞,导致软件使用者成为黑客入侵、隐私泄露及监控行为的对象。

公民实验室在报告中指出,该程序的SSL数字安全证书形同虚设,完全不足以防止敏感数据泄露给未经授权的第三方。漏洞不仅仅与健康数据相关,也涉及到这款应用内的其他服务,包括所有文件附件处理以及音频语音信息的传送。

报告还指出,该软件还内建了敏感词审查机制,公民实验室的研究人员在这款应用中发现一个名为“illegalwords.txt”的文本文件,其中包括多达2442个敏感词,其中有简体中文、维吾尔语、藏语、繁体中文和英语。在除去辱骂他人及色情的词语外,多为中共审查的政治敏感词,例如“八九六四”、“习近平”、“邪恶中共”、“达赖喇嘛”、“尊者”、“强制拆除”、“古兰经”、“注射”等等。

公民实验室最后还表示,尽管对于冬奥通的分析结果令人担忧,但是它在使用者隐私策略方面的缺陷,与其他中共国公司开发的APP如出一辙,因此这种结果并不令人意外。

据冬奥会官方介绍,冬奥通(My 2022)App是一款多功能手机应用程序,面向冬奥会和冬残奥会注册人群提供各种信息服务。官方表示,APP并不强制安装在私人手机上。

但据《北京2022年冬奥会和冬残奥会防疫手册》第二版规定,所有注册涉奥人员必须下载“冬奥通”应用程序,在入境前14天开始通过健康监测系统每日主动报告健康状况。

参考链接:德国之声独家报道:北京冬奥app暗藏网络安全风险


素材采编:老孙

编辑: 文顺

发布:miumiu

免责声明:本文内容仅代表作者个人观点,平台不承担任何法律风险。

0 评论
Inline Feedbacks
View all comments