北京冬奧會要求各國選手安裝的「防疫軟件」內,疑暗藏政治審查。加拿大網絡研究機構發現,這款「我的2022」(My 2022)軟件的加密功能形同虛設,同時還能審查所謂的「敏感詞」。

根據國際奧委會發布的北京冬奧官方手冊,所有進入北京所謂防毒「泡泡」的各國運動員、教練員、記者、體育官員,以及數千名當地工作人員,都要在手機上安裝「我的2022」軟件,或者從網頁登記個人訊息。

根據手冊,各國人士要在前往中國前至少14天內下載「我的2022」,從此每天報告健康狀況,上傳疫苗接種證書和COVID-19測試結果。他們到達中國後,也要每天通過該軟件匯報健康狀況,包括體溫。

多倫多大學「公民實驗室」(Citizen Lab)報告顯示,「我的2022」軟件提供一系列功能,除了提交用戶的健康訊息外,還包括實時聊天、語音-音頻聊天、文件傳輸、新聞和天氣更新等功能。

APP含「災難性的缺陷」

專門從事數字安全研究的「公民實驗室」對「我的2022」進行分析,發現其存在安全隱患,可能導致網絡入侵。

該實驗室的研究員科諾柯爾(Jeffrey Knockel)在報告中寫道,該軟件「有一個簡單的、但是災難性的缺陷,那就是不費吹灰之力就可以突破用戶的語音和文件傳輸加密。」

「我的2022」的SSL證書認證——確保僅在可信設備和伺服器之間傳遞訊息的協議——是無效的,這意味著該軟件存在嚴重的加密漏洞。也就是說,該軟件可能被與惡意主機連接,訊息可能被攔截等。

那麼,這些網絡漏洞是中共故意植入的嗎?報告說,中共確實曾通過破壞加密技術來進行政治審查和監視,也利用未加密的網絡通信發起過攻擊。此外,中共地方政府經常使用數據攔截技術來探測wifi的流量以進行監視。

「政治敏感詞」審查

這個軟件還包括一項功能,允許用戶報告所謂的「政治敏感內容」。目前尚不清楚該訊息將與誰共享。

此外,研究人員還在軟件中發現了一個「敏感詞」審查表,即一個「illegalwords.txt」的文本文件,其中包括2,442個關鍵詞和短語,大部份是簡體中文,但也有很小一部份維吾爾語、藏語、繁體中文和英語。

這些詞彙包括色情方面的內容,也包括大量政治或信仰方面的內容,以及涉及中共及其領導人、法輪功、六四事件、《古蘭經》、達賴喇嘛以及新疆維吾爾人的詞彙。例如「天安門」或「中共邪惡」(Chinese Communist Party evil)、「胡江內鬥」、「法輪大法好」等,還包括中國國家主席「習近平」的名字,以及一些機構如中共的國務院、國家知識產權局等。

「公民實驗室」還發現了能夠審查該軟件敏感詞列表的軟件代碼。目前這些「敏感詞」列表處於休眠狀態,並未阻止任何通信。但科諾柯爾表示:「激活這份清單的審查功能,或是輕而易舉的事情。」

根據「我的2022」政策規定,中共在涉及「國安事務和刑事調查」的情況下,不經用戶同意就可共享其個人資料。

目前,美國、英國、加拿大、澳洲、比利時等國運動員將個人電子設備留在家中,以防北京間諜竊密,科諾柯爾建議,參賽者如果必須使用這款軟件,最好通過虛擬專用網絡(VPN)連接到互聯網。

「公民實驗室」去年12月向北京奧組委通報了安全漏洞,但尚未收到回覆。這份報告還說,「我的2022」的安全漏洞不僅違反了Google和蘋果的相關政策,還違反了中共自己制定的私隱保護法律。◇