德国之声独家报道:北京冬奥app暗藏网络安全风险
根据国际奥委会的官方规则手册,所有进入北京冬奥“泡泡”(将参与者与外界隔离的防疫闭环系统)运动员、教练员、记者、体育官员和数千名当地工作人员都需要通过智能手机上安装的“我的2022“这款应用程序,或者网页输入的方式登记个人信息。
但是,德国之声独家从非盈利研究机构公民实验室(Citizen Lab)获得的 一份网络安全报告 显示,该款程序内的加密手段并不完善,可能导致奥运选手、记者及体育官员成为黑客入侵、隐私泄露及监控行为的对象。
此外,信息技术专家们还发现这款应用程序内建一份审查关键词清单。
德国、澳大利亚、英国和美国都要求本国运动员及奥委会成员将私人手机和手提电脑留在家中,在北京参与冬奥会期间仅使用具有安全措施的特殊设备。
荷兰奥委会甚至以担心监控为由,禁止运动员携带私人手机和手提电脑前往北京。
这款应用程序的SSL证书认证——旨在确保数据传输仅在可信设备和服务器之间进行的一项协议——是无效的,意味存在着者严重的加密漏洞。其结果是,该应用程序可能被骗与恶意主机连接,允许信息被拦截,甚至恶意数据被发回给应用程序。
公民实验室研究员科诺科尔(Jeffrey Knockel)表示,他发现这些漏洞不仅仅与健康数据相关,也涉及到这款应用内的其他服务,包括所有文件附件处理以及音频语音信息的传送。
这位专家表示,他们同时发现这款应用内的有些服务数据传输完全不加密。这意味着黑客可以轻易读取应用内建聊天服务的元数据(metadata)。
“我们的研究发现显示,‘我的2022’应用程序的安全机制完全不足以防止敏感数据泄露给未经授权的第三方,”科诺科尔在报告中写道。
此外,公民实验室的研究人员还在这款应用中发现一个名为“illegalwords.txt”的文本文件,其中包括2442个关键词和短语,大部分是简体中文,但也有很小一部分维吾尔语、藏语、繁体中文和英语。
在众多关键词中,有一些是骂人的脏话,但也有遭到中共审查的政治敏感话题:批评中共及其领导人、法轮功、六四事件、达赖喇嘛以及新疆维吾尔人。甚至维吾尔语的“古兰经”一词也在这份公民实验室审阅的清单之中。
在手机应用安全分析方面拥有丰富专业知识的公民实验室表示,没有迹象显示,目前版本的“我的2022”程序中主动使用这份敏感词列表进行审查。目前仍不清楚,为何这份列表会出现在程序中。但是研究员科诺科尔表示:“即便illegalwords.txt这份文件目前没有得到使用,‘我的2022’程序依然包含了代码功能可以读取这份文件,并将其用于审查功能,就是说要激活这份清单的审查功能可能是轻而易举的事情。”
这款软件还包括举报功能,允许用户在发现危险或可疑的聊天讯息时举报其他用户。举报理由中包括“政治敏感内容”,这一说法在中国经常被用来形容遭到审查的话题。
https://m.dw.com/zh/%E5%BE%B7%E5%9B%BD%E4%B9%8B%E5%A3%B0%E7%8B%AC%E5%AE%B6%E6%8A%A5%E9%81%93%E5%8C%97%E4%BA%AC%E5%86%AC%E5%A5%A5app%E6%9A%97%E8%97%8F%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E9%A3%8E%E9%99%A9/a-60457972
但是,德国之声独家从非盈利研究机构公民实验室(Citizen Lab)获得的 一份网络安全报告 显示,该款程序内的加密手段并不完善,可能导致奥运选手、记者及体育官员成为黑客入侵、隐私泄露及监控行为的对象。
此外,信息技术专家们还发现这款应用程序内建一份审查关键词清单。
德国、澳大利亚、英国和美国都要求本国运动员及奥委会成员将私人手机和手提电脑留在家中,在北京参与冬奥会期间仅使用具有安全措施的特殊设备。
荷兰奥委会甚至以担心监控为由,禁止运动员携带私人手机和手提电脑前往北京。
这款应用程序的SSL证书认证——旨在确保数据传输仅在可信设备和服务器之间进行的一项协议——是无效的,意味存在着者严重的加密漏洞。其结果是,该应用程序可能被骗与恶意主机连接,允许信息被拦截,甚至恶意数据被发回给应用程序。
公民实验室研究员科诺科尔(Jeffrey Knockel)表示,他发现这些漏洞不仅仅与健康数据相关,也涉及到这款应用内的其他服务,包括所有文件附件处理以及音频语音信息的传送。
这位专家表示,他们同时发现这款应用内的有些服务数据传输完全不加密。这意味着黑客可以轻易读取应用内建聊天服务的元数据(metadata)。
“我们的研究发现显示,‘我的2022’应用程序的安全机制完全不足以防止敏感数据泄露给未经授权的第三方,”科诺科尔在报告中写道。
此外,公民实验室的研究人员还在这款应用中发现一个名为“illegalwords.txt”的文本文件,其中包括2442个关键词和短语,大部分是简体中文,但也有很小一部分维吾尔语、藏语、繁体中文和英语。
在众多关键词中,有一些是骂人的脏话,但也有遭到中共审查的政治敏感话题:批评中共及其领导人、法轮功、六四事件、达赖喇嘛以及新疆维吾尔人。甚至维吾尔语的“古兰经”一词也在这份公民实验室审阅的清单之中。
在手机应用安全分析方面拥有丰富专业知识的公民实验室表示,没有迹象显示,目前版本的“我的2022”程序中主动使用这份敏感词列表进行审查。目前仍不清楚,为何这份列表会出现在程序中。但是研究员科诺科尔表示:“即便illegalwords.txt这份文件目前没有得到使用,‘我的2022’程序依然包含了代码功能可以读取这份文件,并将其用于审查功能,就是说要激活这份清单的审查功能可能是轻而易举的事情。”
这款软件还包括举报功能,允许用户在发现危险或可疑的聊天讯息时举报其他用户。举报理由中包括“政治敏感内容”,这一说法在中国经常被用来形容遭到审查的话题。
https://m.dw.com/zh/%E5%BE%B7%E5%9B%BD%E4%B9%8B%E5%A3%B0%E7%8B%AC%E5%AE%B6%E6%8A%A5%E9%81%93%E5%8C%97%E4%BA%AC%E5%86%AC%E5%A5%A5app%E6%9A%97%E8%97%8F%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E9%A3%8E%E9%99%A9/a-60457972
