【404檔案館】第67期：北京冬奧應用的安全漏洞和敏感詞詳解

《404檔案館》講述中國審查與反審查的故事，同時以文字、音頻和視頻的形式發布。播客節目可在Apple Podcasts, Google Podcasts, Spotify 或泛用型播客客戶端搜索“ 404檔案館”進行收聽，視頻節目可在Youtube“ 中國數字時代· 404檔案館”頻道收看。

撰文：盧斯

歡迎來到404檔案館。在這裡，我們一起穿越中國數字高牆。

今天我們來關注與北京冬奧會相關的審查敏感詞，以及會議專用軟件“冬奧通”的安全漏洞。

強制下載的“冬奧通”，存在嚴重安全漏洞

2022年的冬季奧運會，將於2月4日至20日在北京舉行。為了應對新冠疫情，中國官方宣布實施“閉環”管理， 要求所有奧運會參與者都必須在手機安裝健康監測應用“冬奧通”(MY2022 APP) ；國際參會者要在前往中國前14天開始，每天監測健康狀況並將其提交到應用程序。

“冬奧通”是一個多用途的應用程序，包括實時聊天、文件傳輸以及有關奧運會的新聞和天氣更新。此外，它還可為來自國外的訪問者向海關提交身份和健康信息，例如護照詳情、人口統計身份信息以及旅行和疾病史。

然而， 加拿大網絡監控組織“公民實驗室” （Citizen Lab）於1月18日發布了一份報告，稱“冬奧通”App存在嚴重的安全漏洞，可能會使敏感數據遭到攔截。

接下來，我們為您梳理一下這份報告的主要內容，聊聊手機應用“冬奧通”引發的爭議。

公民實驗室Citizen Lab, 是位於多倫多大學蒙克全球事務與公共政策學院(MUNK SCHOOL OF GLOBAL AFFAIRS & PUBLIC POLICY) 的跨學科實驗室，專注於信息和通信技術、人權及全球安全。他們的研究包括：調查針對公民社會的數字間諜活動，記錄互聯網過濾和其他影響在線言論自由的技術和做法，分析流行應用程序的隱私、安全和信息控制。

公民實驗室發現，“冬奧通”App歸一家名為北京金控集團的國有企業所有，存在一些簡單但後果嚴重的安全漏洞。

漏洞一：無法驗證SSL 證書

SSL是為網絡通信提供安全及數據完整性保障的一種安全協議. SSL使用加密和數字簽名技術為傳輸中的數據提供隱私和完整性，保護客戶端和服務器之間的傳輸不被讀取或修改。公民實驗室的分析發現，“冬奧通”無法驗證SSL 證書，從而允許攻擊者通過乾擾應用程序，來截獲使用者的信息。根據該實驗室的統計，“冬奧通”至少有5處服務器的SSL 連接存在漏洞，使得黑客能夠讀取海關健康申報單中用戶的人口統計、護照、旅行和醫療等隱私信息，或者讀取用戶傳輸的語音音頻或文件附件。

漏洞二：未能加密敏感數據

公民實驗室發現，一些敏感數據是在沒有任何SSL 加密或任何安全措施的情況下傳輸的；例如，消息的發送者和接收者的名稱及其用戶帳戶標識符。此類數據可以被任何被動竊聽者讀取，例如處於不安全wifi 接入點範圍內的人、操作wifi 熱點的人、互聯網服務提供商或其他電信公司。這意味著黑客可以通過WiFi 熱點讀取沒有加密的數據。

漏洞三：暗藏2400個敏感詞

公民實驗室的分析還發現，“冬奧通”軟件中含有一個看起來似乎是用於審查的關鍵詞列表，內含涉及新疆、西藏等一系列與中國政治和政府機構有關的詞語。該列表包含2442 個在中國被認為具有政治敏感性的關鍵字詞。

中國數字時代完整轉載了這份報告所披露的冬奧敏感詞清單。

這2400個關鍵詞大部分為簡體中文，少量為藏文、維吾爾文、繁體中文和英文。這些關鍵詞中的大多數可歸為涉及政治動機、色情、髒話和非法商品。例如，“捌玖陸肆紀念”、“中共邪惡”、“習近平”等關鍵詞都出現在審查列表中。同時，“冬奧通”還提供了讓用戶舉報“政治敏感內容”的功能。

官方甩鍋軟件開發商，多國發預警防竊聽

公民實驗室認為，中國有破壞加密技術進行政治審查和監視以及利用未加密的網絡通信發起中間人攻擊的歷史。此外，中國地方政府經常使用數據攔截技術來嗅探wifi 流量以進行監控。因此，有理由質詢“冬奧通”應用程序中的加密漏洞是否是出於監視目的而故意設置的，而不只是源於開發者的疏忽。

2021年12月3日，公民實驗室向北京冬奧會和冬殘奧會組委會發信，揭露了他們發現的安全問題，但是北京方面一直未有回复。

直到公民實驗室於1月18日公佈調查報告並引發國際輿論關注之後，中國官方才於19日回應說，“冬奧通”嚴格遵守規格、保護數據，所有技術細節都已通過相關應用商店的審核。據德國之聲報導，一位北京奧組委發言人也在當天對中國媒體表示，“冬奧通”是為防疫需求而設計，其各項功能所用到的用戶信息，在用戶協議和隱私政策中均有明確表述，並經過國際奧委會的審核。

而自由亞洲電台的報導稱：“對於“冬奧通”被披露審查政治敏感內容，北京冬奧會官員甩鍋給了軟件開發商，稱官方沒有這方面的要求，是軟件承包商不知為何多此一舉。”

針對北京奧組委的這些說法， 公民實驗室主任羅納德·迪伯特（Ronald Deibert）對德國之聲表示：“北京奧組委首先否認'冬奧通'有問題，現在又表示我們所發現的問題已經得到解決。這兩種說法不可能同時成立。”

據自由亞洲電台的報導:目前，已經有荷蘭、加拿大、英國、美國向運動員發出防間諜、防竊聽預警。美國奧委會警示其參賽運動員：“每台設備、每一次通信、每筆交易和每一次在線活動都可能受到監控，因此請為此做好計劃。”

知名國際非營利組織人權觀察，也就此問題於1月18日舉辦了一場線上研討會。會上，

人權觀察的中國部主任理查森(Sophie Richardson) 說：“中國當局現在在全國各地使用的工具包含人工智能和預測性警務丶大數據資料庫丶對社交媒體平台的廣泛監控，讓人們無法參與某些類型的對話。任何前往該國參加比賽的人，以及記者丶運動員丶教練，都需要意識到這種監控可能會影響他們。”

1月26日，美國移動和物聯網研究者、計算機科學在讀博士Jonathan Scott在推特表示，自己對北京奧運通APP進行了逆向工程分析。基於分析結果，他說：“我可以肯定地說，所有奧運選手的音頻都被收集、分析並保存在了中國的服務器上，而這些服務器使用的是被美國列入黑名單的人工智能公司科大訊飛的技術”。

中國數字時代CDT 致力於記錄和傳播中文互聯網上被審查的信息，以及人們與審查對抗的努力。我們邀請您參加敏感詞開源研究項目和404文章存檔項目，為記錄和對抗中國網絡審查作出你的貢獻！詳情請訪問我們的網站CDT.MEDIA 。