德國之聲獨家從加拿大多倫多非盈利研究機構「公民實驗室」(Citizen Lab)獲得的一份網絡安全報告顯示,中共衛生防疫措施要求各國選手,安裝一款名為“冬奧通”(My 2022)的智能手機應用程序,這款「冬奧通」App的加密功能形同虛設。
報告指出,該款程序內的加密手段並不完善,可能導致奧運選手、記者及體育官員成為黑客入侵、隱私洩露及監控行為的對象。
這款應用程序的SSL證書認證——旨在確保數據傳輸僅在可信設備和服務器之間進行的一項協議——是無效的,意味存在著者嚴重的加密漏洞。其結果是,該應用程序可能被騙與惡意主機連接,允許信息被攔截,甚至惡意數據被發回給應用程序。
而根據國際奧委會發布的北京冬奧官方手冊,各國人士要在前往中國前至少14天內下載「冬奧通」。此後,每天需報告健康狀況,上傳中共病毒疫苗接種證書和中共病毒(COVID-19)測試結果。在抵達中國後,也要每天通過該App匯報健康狀況,包括體溫。
「公民實驗室」的研究員科諾柯爾(Jeffrey Knockel)在報告中指出,該App「有一個簡單的但是災難性的缺陷,那就是用戶的加密傳輸內容,可以不費吹灰之力被突破」。
此外,研究人員還發現,在該App中有一個「敏感詞」illegalwords.txt的審查表文本文件,包括2,442個關鍵詞和短語,大部分是簡體中文,但也有很小一部分維吾爾語、藏語、正體中文和英語。
這些關鍵詞,包括大量政治或信仰方面的內容,以及涉及中共及其領導人、法輪功、六四事件、達賴喇嘛、新疆維吾爾人的詞彙。例如「天安門」、「中共邪惡」、「胡江內鬥」、「法輪大法好」等。甚至維吾爾語的「古蘭經」一詞也在這份清單中。
雖然這些「敏感詞」列表目前處於休眠狀態,並未阻止任何通信。但科諾柯爾表示,「激活(啟用)這份清單的審查功能,很可能是輕而易舉的事情。」
根據「冬奧通」政策規定,中共甚至可以在涉及「國安事務和刑事調查」的情況下,不經用戶同意就可使用其個資。
因此,科諾柯爾建議,參賽者如果必須使用這款App,最好通過虛擬專用網絡(VPN)連接到網絡。
公民實驗室在報告中也直指,冬奧通在隱私保障上的缺陷在多數中國企業開發的手機app上都存在,因此有這些資安缺陷,「並不令人意外」。
對此,目前一些國家已經採取了預防措施。澳洲奧委會發言人說,「在分配給我們的區域,澳洲將提供自己的Wi-Fi,由我們的IT部門提供的網絡服務。」
加拿大奧委會也提醒本國隊員,為避免奧運會「為網絡犯罪提供了一個獨特機會」,建議他們將個人電子產品留在家中,避免個資帶到中國後遭到竊取。
美國奧委會日前在一份備忘錄中警告選手,「應假設在中國所有數據與溝通往來都會遭到監控、入侵或阻擋」。
荷蘭、比利時也都建議參賽選手勿將手機、筆記型電腦帶進中國境內,以免相關資訊遭到中共政府竊取。
北京奧委會則象一貫聲稱的那樣說,「這些擔憂完全沒有必要」,中共會保護公民和外國遊客的隱私和數據安全。