根据公民实验室(Citizen Lab)报告指出,即将隆重引爆的2022年冬奥会(2022 Winter Olympics)所推出的MY2022应用程序(App Store/Google Play)存有安全漏洞,这可能让用户暴露在危险之中。

然而,国际奥委会(International Olympic Committee)已经为该应用程序辩护,还说需要采取“特别措施”(special measures)来保护2022年北京冬奥会和残奥会的参与者及中国人民。

该实验室指出:“传输护照详情、人口统计数据、医疗和旅行记录也很容易受到攻击,服务器响应也可能被‘欺骗’,允许攻击者向用户显示虚假的指示。”

他们还发现,MY2022应用程序未能验证服务器证书(SSL),这是用来加密和数码签名技术,为传输中的数据提供隐私和完整性。

所以,未能验证意味着,该应用程序用户可以被欺骗连接至恶意平台,使传输至服务器的信息被截取,它还允许应用程序显示看似来自受信赖服务器的欺骗性内容。

-图摘自Soya Cincau-
-图摘自Soya Cincau-



虽然有些连接没有受到攻击,但公民实验室还发现,至少与以下服务器的SSL连接是脆弱的,其中包括:

  • my2022.beijing2022.cn
  • tmail.beijing2022.cn
  • dongaoserver.beijing2022.cn
  • app.bcia.com.cn
  • health.customapp.com

他们甚至还发现,一些敏感数据的传输没有任何SSL加密或任何安全保障。

这些数据可以被任何窃听者读取,例如在不安全的WiFi接入范围内的用户、分享WiFi热点的人、互联网服务提供商或任何的电讯公司。

国际奥委会一名发言人说,由于疫情关系需要采取“特别措施”,当局还强调,该应用程序得获得Google Play和App Stores的批准。

该奥委会说:“......已经采取闭环(close-loop)管理系统....。”

“My2022应用程序支持健康监测的功能,它的目的是在闭环环境中,确保奥运会相关人员的安全。”

当局还提及,在手机上安装该应用程序是 “非强制性的”,用户可以网页上登录健康检测系统。

公民实验室主任Ron Deibert指出:“国际奥委会有责任确保,在奥运会期间使用的任何应用程序和用户隐私与安全获得保护,但是,当局发表的言论表明,他们没有认真看待,实际上我们希望将风险降到最低。”

截至1月17日,开发者向App Store发布MY2022的iOS版本(2.0.5),公民实验室还发现,当中被发现的问题还未获到解决。

资料来源图片来源】&【文取自 Soya Cincau - Dzamira Dzafri