ResearchFree Expression Online

“冬奥通”安全分析

点击阅读繁体中文摘要英文报告全文

  • “冬奥通”是2022年北京奥运会官方规定与会者必须安装的一个手机软件。本研究指出“冬奥通”有一个简单但后果严重的安全漏洞,即其用于加密用户语音音频和文件传输的加密技术可以轻易被绕过。健康申报表等传输详细护照等个人资料,个人健康信息以及旅游史等也存在安全漏洞。服务器响应也可以被欺骗,允许攻击者向用户显示虚假指令。
  • “冬奥通”的隐私协议相对直观透明地列出了其收集的各类数据,包括向用户收集的一系列高度敏感的医疗健康资料等个人隐私信息。不过,“冬奥通”并没有清楚列出它会向谁或哪些机构共享和披露这些高度敏感信息。
  • “冬奥通”提供让用户举报“政治敏感内容”的功能。同时,软件中含有一个看似用于审查的关键词列表,内含涉及新疆、西藏等一些列与中国政治和政府机构有关的词语。该审查列表在我们分析的软件版本中没有被启用。
  • “冬奥通”的负责公司没有回应我们的安全披露。我们发现该软件的安全漏洞不仅可能违反谷歌的不受欢迎的软件政策和苹果的应用程序商店指南,而且也可能违反了中国自己的法律和有关隐私保护的国家标准。针对这些规定,相关负责公司可能会在未来修复这些隐私和安全漏洞。