2022 年北京冬奥将于 2 月 4 日开幕,强制要求所有与会访客必须下载安装北京金融控股集团开发的“MY2022”App。据加拿大多伦多大学旗下“公民实验室”(Citizen Lab)最新数位研究报告,MY2022 App 因极度缺乏安全防护机制,恐将引发大量使用者个资外泄的安全风险。
今年北京冬奥规定,所有参加访客皆需强制性下载 MY2022 App,由“北京 2022 年冬奥会和冬残奥会组织委员会”设计,版权所有者为北京金融控股集团。App 提供许多服务,包括旅游建议、COVID 相关健康监控及 GPS 导航等服务。
既无法验证 SSL 凭证,更缺乏 SSL 加密保护机制
尽管 App 有着强化访客体验的重责大任,但公民实验室数位研究人员却发现,它会搜集使用者大量敏感性健康与旅游个资(如护照资讯、病历等),却极度缺乏该有的安全保护措施。研究人员检视 iOS 系统 2.0.0 版,以及 Android 系统 2.0.0 版时,发现两者资料加密与传输安全防护都不足。
首先,App 经常无法验证 SSL 凭证,意味无法验证传输资料到底送到哪里,会让使用者身陷中间人攻击( Man-in-the-Middle Cyberattack)的风险,恶意攻击者可伪造合法网站连线,拦劫 App 传送的资料。其次,App 传送某类型诠释资料(Metadata)时,并没有任何 SSL 加密保护等安全措施。
究竟是粗制滥造作品还是暗渡陈仓的窃密工具?
虽然公民实验室研究人员早在一个多月前(2021 年 12 月 3 日)就将安全问题回报北京奥委会,却从未收到任何回复。苹果 App Store 的 MY2022 已更新至 2.0.5 版,只更新稳定性改善与强化,并添增专门处理旅游文件与健康资料的全新 Green Health Code 功能,至于资料传输依旧不见任何加密或其他保护机制。
发行安全性不足的 MY2022 不但违反《中国个人信息保护法》(去年底生效),也违反 Google《垃圾软件政策》(Unwanted Software Policy)及苹果《应用商店指南》(App Store guidelines)。究竟中国-如何看待这四年一度全球运动盛会专属 App 的安全性?
有鉴中国拥有全球最大监控天网,所以很多人将这种既粗糙又差劲的安全设计,视为中国-为了搜集访客资讯等特定目的性阴谋的刻意之举。但公民实验室研究人员不以为然,他们认为很多漏洞连连的资料早被中国-强大监控系统搜集殆尽,所以没理由需在新 App 另寻额外变通监控机制。且中国 App 生态系统的整体数位安全性向来不好,所以 MY2022 不过是开发人员的粗制滥造作品,而非暗渡陈仓的窃密工具。
- The 2022 Olympics App All Attendees Must Download Is a Security Nightmare, Researchers Find
(首图来源:App Store)
