ResearchFree Expression Online

「冬奧通」安全分析

点击阅读繁体中文摘要英文报告全文

  • 「冬奧通」是2022年北京奧運會官方規定與會者必須安裝的一個手機軟件。本研究指出「冬奧通」有一個簡單但後果嚴重的安全漏洞,即其用于加密用戶語音音頻和文件傳輸的加密技術可以輕易被繞過。健康申報表等傳輸詳細護照等個人資料,個人健康信息以及旅遊史等也存在安全漏洞。服務器響應也可以被欺騙,允許攻擊者向用戶顯示虛假指令。
  • 「冬奧通」的隱私協議相對直觀透明地列出了其收集的各類數據,包括向用戶收集的一系列高度敏感的醫療健康資料等個人隱私信息。不過,「冬奧通」並沒有清楚列出它會向誰或哪些機構共享和披露這些高度敏感信息。
  • 「冬奧通」提供讓用戶舉報「政治敏感內容」的功能。同時,軟件中含有一個看似用于審查的關鍵詞列表,內含涉及新疆、西藏等一些列與中國政治和政府機構有關的詞語。該審查列表在我們分析的軟件版本中沒有被啓用。
  • 「冬奧通」的負責公司沒有回應我們的安全披露。我們發現該軟件的安全漏洞不僅可能違反谷歌的不受歡迎的軟件政策和蘋果的應用程序商店指南,而且也可能違反了中國自己的法律和有關隱私保護的國家標准。針對這些規定,相關負責公司可能會在未來修複這些隱私和安全漏洞。