根据公民实验室(Citizen Lab)报告指出,即将隆重引爆的2022年冬奥会(2022 Winter Olympics)所推出的MY2022应用程序(App Store/Google Play)存有安全漏洞,这可能让用户暴露在危险之中。
然而,国际奥委会(International Olympic Committee)已经为该应用程序辩护,还说需要采取“特别措施”(special measures)来保护2022年北京冬奥会和残奥会的参与者及中国人民。
在1月18日,该实验室指出,这是存有一个“简单但具有破坏性的缺陷”(simple but devastationg flaw),当中保护用户的音频和文件传输可以被巧妙地回避(trivially sidestepped)。
这份报告引起许多人不满,因为大家都想要看各自国家运动员在赛场上的表现,所以往往在别无选择的情况下,下载了该应用程序,所以这不仅包括参加比赛的运动员,还有观众和媒体。
该实验室指出:“传输护照详情、人口统计数据、医疗和旅行记录也很容易受到攻击,服务器响应也可能被‘欺骗’,允许攻击者向用户显示虚假的指示。”
他们还发现,MY2022应用程序未能验证服务器证书(SSL),这是用来加密和数码签名技术,为传输中的数据提供隐私和完整性。
所以,未能验证意味着,该应用程序用户可以被欺骗连接至恶意平台,使传输至服务器的信息被截取,它还允许应用程序显示看似来自受信赖服务器的欺骗性内容。
虽然有些连接没有受到攻击,但公民实验室还发现,至少与以下服务器的SSL连接是脆弱的,其中包括:
- my2022.beijing2022.cn
- tmail.beijing2022.cn
- dongaoserver.beijing2022.cn
- app.bcia.com.cn
- health.customapp.com
他们甚至还发现,一些敏感数据的传输没有任何SSL加密或任何安全保障。
这些数据可以被任何窃听者读取,例如在不安全的WiFi接入范围内的用户、分享WiFi热点的人、互联网服务提供商或任何的电讯公司。
国际奥委会一名发言人说,由于疫情关系需要采取“特别措施”,当局还强调,该应用程序得获得Google Play和App Stores的批准。
该奥委会说:“……已经采取闭环(close-loop)管理系统….。”
“My2022应用程序支持健康监测的功能,它的目的是在闭环环境中,确保奥运会相关人员的安全。”
当局还提及,在手机上安装该应用程序是 “非强制性的”,用户可以网页上登录健康检测系统。
公民实验室主任Ron Deibert指出:“国际奥委会有责任确保,在奥运会期间使用的任何应用程序和用户隐私与安全获得保护,但是,当局发表的言论表明,他们没有认真看待,实际上我们希望将风险降到最低。”
截至1月17日,开发者向App Store发布MY2022的iOS版本(2.0.5),公民实验室还发现,当中被发现的问题还未获到解决。
