2022 年北京冬奧將於 2 月 4 日開幕,強制要求所有與會訪客必須下載安裝北京金融控股集團開發的「MY2022」App。據加拿大多倫多大學旗下「公民實驗室」(Citizen Lab)最新數位研究報告,MY2022 App 因極度缺乏安全防護機制,恐將引發大量使用者個資外洩的安全風險。
今年北京冬奧規定,所有參加訪客皆需強制性下載 MY2022 App,由「北京 2022 年冬奧會和冬殘奧會組織委員會」設計,版權所有者為北京金融控股集團。App 提供許多服務,包括旅遊建議、COVID 相關健康監控及 GPS 導航等服務。
既無法驗證 SSL 憑證,更缺乏 SSL 加密保護機制
儘管 App 有著強化訪客體驗的重責大任,但公民實驗室數位研究人員卻發現,它會蒐集使用者大量敏感性健康與旅遊個資(如護照資訊、病歷等),卻極度缺乏該有的安全保護措施。研究人員檢視 iOS 系統 2.0.0 版,以及 Android 系統 2.0.0 版時,發現兩者資料加密與傳輸安全防護都不足。
首先,App 經常無法驗證 SSL 憑證,意味無法驗證傳輸資料到底送到哪裡,會讓使用者身陷中間人攻擊( Man-in-the-Middle Cyberattack)的風險,惡意攻擊者可偽造合法網站連線,攔劫 App 傳送的資料。其次,App 傳送某類型詮釋資料(Metadata)時,並沒有任何 SSL 加密保護等安全措施。
究竟是粗製濫造作品還是暗渡陳倉的竊密工具?
雖然公民實驗室研究人員早在一個多月前(2021 年 12 月 3 日)就將安全問題回報北京奧委會,卻從未收到任何回覆。蘋果 App Store 的 MY2022 已更新至 2.0.5 版,只更新穩定性改善與強化,並添增專門處理旅遊文件與健康資料的全新 Green Health Code 功能,至於資料傳輸依舊不見任何加密或其他保護機制。
發行安全性不足的 MY2022 不但違反《中國個人信息保護法》(去年底生效),也違反 Google《垃圾軟體政策》(Unwanted Software Policy)及蘋果《應用商店指南》(App Store guidelines)。究竟中國政府如何看待這四年一度全球運動盛會專屬 App 的安全性?
有鑑中國擁有全球最大監控天網,所以很多人將這種既粗糙又差勁的安全設計,視為中國政府為了蒐集訪客資訊等特定目的性陰謀的刻意之舉。但公民實驗室研究人員不以為然,他們認為很多漏洞連連的資料早被中國政府強大監控系統蒐集殆盡,所以沒理由需在新 App 另尋額外變通監控機制。且中國 App 生態系統的整體數位安全性向來不好,所以 MY2022 不過是開發人員的粗製濫造作品,而非暗渡陳倉的竊密工具。
(首圖來源:App Store)
