(台灣英文新聞 / 綜合報導)北京冬季奧運開幕進入倒數,一家加拿大研究機構警告,一款奧運官方單位用來選手健康狀況的手機應用程式,充斥漏洞,駭客甚至不用太費力,就能輕易取得資料。
綜合美聯社與路透報導,這款名為MY2022的應用程式,是由北京金融控股集團開發,除了提供2022北京冬奧賽事、交通、觀光資訊,追蹤選手團的健康狀態、疫苗接種機露、提供COVID-19相關防疫資訊,也可用作通訊軟體。
然而,加拿大網路觀察團體公民實驗室(Citizen Lab)披露,該app有著嚴重安全瑕疵,不僅未揭露資料提供何方使用,加密功能也破綻百出,如未驗證SSL憑證等,駭客可藉此攔截資訊,傳送至惡意網站。任何網路服務業者、WiFi熱點營運者、通訊公司等,只要有心,竊密不是問題。
Citizen Lab表示,在MY2022上發現的設計缺失,其實常見於中國網路瀏覽器,且「中國app生態系對使用者資料本就有不護不足的弊病」。此外,Android版本包含了一個「illegalwords.txt」檔,內有2,442個關鍵字,包括西藏、維吾爾等政治敏感詞彙。該組織早於12月3日告知北京冬奧組委此事,卻遲未獲得回應。
國際奧委會稱,已展開獨立調查,但並未發現任何「嚴重漏洞」,且並非強制要求參與奧運者手機皆須下載。北京冬奧組委淡化此事,強調MY2022已獲iOS與Android等各大系統app商店核可,「且研發這類程式,技術漏洞在所難免。」
由於中國有著資訊審查與隱私外洩的黑歷史,許多國家都已奉勸選手勿攜帶常用手機前往北京,最好使用拋棄式或未含敏感個資的行動裝置。美國奧組委更直言,所有選手都應假設在北京使用的任何裝置、通訊、交易、網路活動,都會被監控,當然也不用期待資安隱私獲得保障。
(MY2022下載頁截圖)
