北京冬奧 APP「冬奧通」(My 2022)被曝光存有嚴重安全漏洞,荷蘭、加拿大、英國、美國等,已向運動員發出保密防諜的預警。冬奧官員回應,漏洞已經得到修復。
被指存有安全漏洞的「冬奧通」(My 2022),是北京冬奧會官方要求所有註冊涉奧人員,必須使用的一款智能手機應用程序(APP)。該APP可以讓北京政府部門接到使用者,方便出現疫情時對接觸者進行追蹤。它類似於一個基於手機應用的更廣泛健康代碼系統,在發生疫情時用來控制人口流動。
周二(18日)加拿大多倫多大學的網絡安全監督小組「公民實驗室(Citizen Lab)」的一份報告稱,「冬奧通」有一個簡單但後果嚴重的安全漏洞,即其用於加密用戶語音音頻和文件傳輸的加密技術可以輕易被繞過。健康申報表、護照等個人資料、行動軌跡等可以被輕易截取。服務器響應也可以被欺騙,允許攻擊者向用戶顯示虛假指令。
「冬奧通」還提供讓用戶舉報「政治敏感內容」的功能。軟件中含有審查的關鍵詞列表,內含涉及新疆、西藏等一些列與中國政治和政府機構有關的詞語。
《法新社》20日最新的消息指,冬奧技術部官員表示,相關漏洞已經得到修復。不過,中方官員表示,「冬奧通」已經通過了谷歌、蘋果和三星等海外手機應用市場的審核。中方官員起初並不承認有數據洩露,指「冬奧通」相關語音、行蹤、用戶註冊信息等,都是向奧委會申報的合法行為。
北京冬奧會技術部官員:首先,數據洩露是肯定沒有的,我們的系統開發是嚴格按照國家的規範,按照數據傳輸的保密要求,來開發的系統,但是數據是肯定要被使用的。那麼這在我們跟國際奧委會之間的防疫手冊有明確規定,哪些數據怎麼使用。
不過,對於加拿大「公民實驗室」指「冬奧通」有安全隱患,去年12月初按國際慣例,將研究結果發送給2022北京冬奧組委會,要求其修補漏洞,但北京奧組委官方沒有回應。該名官員在回答,安全漏洞已經修改。
北京冬奧會技術部官員:關於這個問題,很抱歉,就是原來的那個郵箱,是在幾年前已經停用了,所以我們沒有看到這個郵箱,事實上我們的開發企業,已經跟實驗室取得了聯繫,他們有發了郵件也有回覆,那麼對於後續的漏洞整改,或者說問題的整改,肯定都有相應的討論,從我們的這個企業也表示,非常願意這些善意的這個提出意見和建議,來提高系統的質量。實際上安全漏洞已經修復,如果說以前的早期版本還有的話,現在的版本實際上是已經修復了,「實驗室」所說的漏洞現在已經不存在。
對於「冬奧通」被揭發審查「政治敏感內容」,北京冬奧會官員就鍋甩到了軟件開發商。稱官方沒有這方面的要求,是軟件承包商不知為何多此一舉。
北京冬奧會技術部官員:首先「冬奧通」不包含這樣的功能。也就是說從我們的設計開發開始,就沒有提出這樣的功能需求,那現在你去測試一下,一定不會有實現這樣的功能,那麼至於說開發商之所以有這樣一個軟件或者程序在裡面,我們也在請開發商審核。
目前,已有荷蘭、加拿大、英國、美國向運動員發出防諜防竊聽預警。美國奧委會表明「每台設備、每一次通信、每筆交易和每一次在線活動都可能受到監控,因此請為此做好計劃。」美國前國務卿蓬佩奧1月14日在推特曾披露,當時國務院官員去中國出差時,都將手機留在國內。
記者:馬立克 責編:何景文