《404档案馆》讲述中国审查与反审查的故事,同时以文字、音频和视频的形式发布。播客节目可在 Apple Podcasts, Google Podcasts, Spotify 或泛用型播客客户端搜索“404档案馆”进行收听,视频节目可在Youtube“中国数字时代· 404档案馆”频道收看。

撰文:卢斯

欢迎来到404档案馆。在这里,我们一起穿越中国数字高墙。

今天我们来关注与北京冬奥会相关的审查敏感词,以及会议专用软件“冬奥通”的安全漏洞。

强制下载的“冬奥通”,存在严重安全漏洞

2022年的冬季奥运会,将于2月4日至20日在北京举行。为了应对新冠疫情,中国官方宣布实施 “闭环”管理,要求所有奥运会参与者都必须在手机安装健康监测应用 “冬奥通”(MY2022 APP);国际参会者要在前往中国前14天开始,每天监测健康状况并将其提交到应用程序。

“冬奥通”是一个多用途的应用程序,包括实时聊天、文件传输以及有关奥运会的新闻和天气更新。此外,它还可为来自国外的访问者向海关提交身份和健康信息,例如护照详情、人口统计身份信息以及旅行和疾病史。

然而,加拿大网络监控组织“公民实验室” (Citizen Lab)于1月18日发布了一份报告,称“冬奥通”App存在严重的安全漏洞,可能会使敏感数据遭到拦截。

接下来,我们为您梳理一下这份报告的主要内容,聊聊手机应用“冬奥通”引发的争议。

公民实验室 Citizen Lab, 是位于多伦多大学蒙克全球事务与公共政策学院(MUNK SCHOOL OF GLOBAL AFFAIRS & PUBLIC POLICY) 的跨学科实验室,专注于信息和通信技术、人权及全球安全。他们的研究包括:调查针对公民社会的数字间谍活动,记录互联网过滤和其他影响在线言论自由的技术和做法,分析流行应用程序的隐私、安全和信息控制。

公民实验室发现,“冬奥通”App归一家名为北京金控集团的国有企业所有,存在一些简单但后果严重的安全漏洞。

漏洞一:无法验证 SSL 证书

SSL是为网络通信提供安全及数据完整性保障的一种安全协议. SSL使用加密和数字签名技术为传输中的数据提供隐私和完整性,保护客户端和服务器之间的传输不被读取或修改。公民实验室的分析发现,“冬奥通”无法验证 SSL 证书,从而允许攻击者通过干扰应用程序,来截获使用者的信息。根据该实验室的统计,“冬奥通”至少有5处服务器的 SSL 连接存在漏洞,使得黑客能够读取海关健康申报单中用户的人口统计、护照、旅行和医疗等隐私信息,或者读取用户传输的语音音频或文件附件。

漏洞二:未能加密敏感数据

公民实验室发现,一些敏感数据是在没有任何 SSL 加密或任何安全措施的情况下传输的;例如,消息的发送者和接收者的名称及其用户帐户标识符。此类数据可以被任何被动窃听者读取,例如处于不安全 wifi 接入点范围内的人、操作 wifi 热点的人、互联网服务提供商或其他电信公司。这意味着黑客可以通过WiFi 热点读取没有加密的数据。

漏洞三:暗藏2400个敏感词

公民实验室的分析还发现,“冬奥通”软件中含有一个看起来似乎是用于审查的关键词列表,内含涉及新疆、西藏等一系列与中国政治和政府机构有关的词语。该列表包含 2442 个在中国被认为具有政治敏感性的关键字词。

中国数字时代完整转载了这份报告所披露的冬奥敏感词清单

这2400个关键词大部分为简体中文,少量为藏文、维吾尔文、繁体中文和英文。这些关键词中的大多数可归为涉及政治动机、色情、脏话和非法商品。例如,“捌玖陆肆纪念”、“中共邪恶”、“习近平”等关键词都出现在审查列表中。同时,“冬奥通”还提供了让用户举报“政治敏感内容”的功能。

官方甩锅软件开发商,多国发预警防窃听

公民实验室认为,中国有破坏加密技术进行政治审查和监视以及利用未加密的网络通信发起中间人攻击的历史。此外,中国地方政府经常使用数据拦截技术来嗅探 wifi 流量以进行监控。因此,有理由质询“冬奥通”应用程序中的加密漏洞是否是出于监视目的而故意设置的,而不只是源于开发者的疏忽。

2021年12月3日,公民实验室向北京冬奥会和冬残奥会组委会发信,揭露了他们发现的安全问题,但是北京方面一直未有回复。

直到公民实验室于1月18日公布调查报告并引发国际舆论关注之后,中国官方才于19日回应说,“冬奥通”严格遵守规格、保护数据,所有技术细节都已通过相关应用商店的审核。据德国之声报道,一位北京奥组委发言人也在当天对中国媒体表示,“冬奥通”是为防疫需求而设计,其各项功能所用到的用户信息,在用户协议和隐私政策中均有明确表述,并经过国际奥委会的审核。

自由亚洲电台的报道称:“对于“冬奥通”被披露审查政治敏感内容,北京冬奥会官员甩锅给了软件开发商,称官方没有这方面的要求,是软件承包商不知为何多此一举。”

针对北京奥组委的这些说法,公民实验室主任罗纳德·迪伯特(Ronald Deibert)对德国之声表示:“北京奥组委首先否认‘冬奥通’有问题,现在又表示我们所发现的问题已经得到解决。这两种说法不可能同时成立。”

自由亚洲电台的报道:目前,已经有荷兰、加拿大、英国、美国向运动员发出防间谍、防窃听预警。美国奥委会警示其参赛运动员:“每台设备、每一次通信、每笔交易和每一次在线活动都可能受到监控,因此请为此做好计划。”

知名国际非营利组织人权观察,也就此问题于1月18日举办了一场线上研讨会。会上,
人权观察的中国部主任理查森 (Sophie Richardson) 说:“中国当局现在在全国各地使用的工具包含人工智能和预测性警务丶大数据资料库丶对社交媒体平台的广泛监控,让人们无法参与某些类型的对话。任何前往该国参加比赛的人,以及记者丶运动员丶教练,都需要意识到这种监控可能会影响他们。”

1月26日, 美国移动和物联网研究者、计算机科学在读博士Jonathan Scott在推特表示,自己对北京奥运通APP进行了逆向工程分析。基于分析结果,他说:“我可以肯定地说,所有奥运选手的音频都被收集、分析并保存在了中国的服务器上,而这些服务器使用的是被美国列入黑名单的人工智能公司科大讯飞的技术”。

中国数字时代 CDT 致力于记录和传播中文互联网上被审查的信息,以及人们与审查对抗的努力。我们邀请您参加敏感词开源研究项目和404文章存档项目,为记录和对抗中国网络审查作出你的贡献!详情请访问我们的网站 CDT.MEDIA