"报告称北京冬奥会应用程序存在严重安全漏洞" 2022年1月19日

一份新报告称，运动员下月在中国参加冬季奥运会时必须使用的一款报告健康和出行数据的智能手机应用程序存在严重的加密漏洞，这让人们对北京计划用来跟踪新冠病毒疫情的系统的安全性提出了质疑。

据多伦多大学网络安全监察部门“公民实验室”的报告，该应用程序传输新冠病毒检测结果、出行信息及其他个人数据的部分没有验证加密传输中使用的签名，或根本没有对数据进行加密。这个实验室还发现，该应用程序的代码中包括一系列标记为审查对象的政治词汇，不过它似乎并没有启动该词汇表来过滤通讯内容。

中国已进入冬奥会的最后筹备阶段，该国试图通过隔绝运动员及其他参与者与更大范围内中国人的接触，来控制新冠病毒的传播。这款名为“冬奥通”(MY2022)的应用程序旨在加强这些预防措施，让政府与参与者进行电子连接，以便在出现疫情时对接触者进行追踪。它类似于一个基于手机应用的更广泛健康代码系统，在发生疫情时用来控制人口流动。

新的关切凸显了人们对于冬奥会期间受到审查和监视的广泛担忧，中国拥有世界上一些最先进的监视和审查手段。官方表示，将为运动员提供让他们绕过中国互联网上普遍存在的屏蔽，能上Facebook、谷歌和Twitter等网站的移动数据服务。

公民实验室在报告中写道，它已于去年12月3日向北京奥组委披露了这些安全漏洞，但没有收到任何回应。今年1月发布的软件更新并没有解决安全漏洞问题，这很可能导致该应用程序违反了中国新颁布的个人数据保护法，也违反了谷歌和Apple的软件商店要求上架应用程序遵守的隐私政策。

Apple和谷歌没有立即回复记者的置评请求。[...]