研究报告曝：北京冬奥App有严重安全漏洞

加拿大网路监控组织「公民实验室」（Citizen Lab）昨（18）日刊出报告，指出北京冬季奥运主办方要求选手、所有参与者在手机内安装的冬奥通（My2022）App存在严重安全漏洞。

综合英国广播公司（BBC）、美联社报导，北京冬季奥运即将在2月4日登场，北京要求包括选手、教练、记者等所有参与者在抵达前14日，就要在手机上安装冬奥通App，冬奥通能让使用者回报每日健康状况，以让主办单位在冬奥举行期间能继续监控新冠疫情。除了回报健康状况，这款App还提供聊天、传檔、天气动态、旅游建议，甚至GPS导航服务。

不过「公民实验室」昨日发布报告指出，冬奥通在加密方面有严重漏洞，会让用户的个人敏感资料及其他透过App交流的资讯更容易被入侵，App上的其他个人重要资讯也未加密，这代表大陆的网路供应商、电信公司能够透过旅馆、机场、奥运场馆的Wi-Fi读取这些资讯。

不过公民实验室也指出，没有证据显示北京政府刻意安排这些资安漏洞。

报告也指出，这些资安漏洞轻易就能发现，同时也和其他大陆网站浏览器存在的资安漏洞类似，报告写道，「对用户资讯的保护不足普遍存在于中国App的生态系统」，还指出，关于冬奥通的调查结果虽然「令人担忧」，「但并不令人惊讶。」

除此之外，报告也提到，冬奥通的安全漏洞可能会违反Google及苹果（Apple）的软体政策；Android作业系统的冬奥通还发现一个名为「illegalwords.txt」的关键字清单列表，上头罗列2442个关键字，包括和新疆有关的敏感字词，不过报告指出，这份清单似乎未被启用。

公民实验室说，已经在2021年底将这些资安问题通知北京奥组委，不过并未收到回覆。

目前许多国家已经建议选手不要携带自己常用的智慧型手机到大陆，而是携带抛弃式手机。例如，美国奥林匹克暨帕拉林匹克委员会（United States Olympic and Paralympic Committee，USOPC）发布指南，建议运动员「假设所有装置、所有通讯、交易及网路行动都会被监控」。

资安公司Internet 2.0也建议参与者在中国期间额外开设电子邮件帐号。