還有不到 20 日就是北京冬季奧運會舉行的日子,為嚴防新冠病毒傳播,這次冬奧會不單採取封閉式管理和不公開出售門券外,要求運動員和參觀者,無論是本地人還是外國人都要每日接受嚴格檢測,還要強制安裝名為《冬奧通》的手機程式,申報個人健康資料。但有網絡安全組織就指這程式存在漏洞,可以被惡意份子截取傳送的敏感資料,並且內藏敏感字詞表。
據《冬奧通》在 App Store 的說明,這個程式是 2022 北京冬奧會信息服務的重要載體,集成賽事相關信息(中略⋯⋯)通過明確細緻地權限管理,既針對不同用戶群實現「一個 APP 走冬奧」的個性化服務,也為賽會組織和運行提供整體的移動通信協同和共享服務平台。程式還提供即時通信、交通、餐飲住宿、抵離和場館等業務領域的移動信息服務功能。亦會由其他服務供應商提供場館外的食住行遊購娛信息。
雖然 App Store 說明裡指《冬奧通》程式不會收集個人資料,不過實際上運動員和參觀者要在出席冬奧前 14 日安裝程式,每日報告健康狀況。而填寫的申報表就包括護照資料、醫療數據和旅遊紀錄等個人資料。
不過據曾經參與調查間諜軟件 Pegasus 的 Citizen Lab 的報告指出,《冬奧通》存在兩個保安漏洞,其中之一是未能驗證有效 SSL 證書。雖然傳送個人資料是採用加密方式,不過由於 SSL 證書未能驗證有效性,所以實際上資料是否正確傳送到目標伺服器就受到質疑,惡意分子可以從中截取傳送的敏感個人資料,或者將欺詐信息傳送給用戶。
另外, Citizen Lab 又指發現有通信的元數據未經加密就經埠號 8099 傳送到 tmail.beijing2022.cn ,內容包括送信人和收信人名稱,與及雙方的識別碼。
除了敏感內容傳送出問題之外, Citizen Lab 還發現在 Android 版程式中內藏了一個 illegalwords.txt 字詞表,包含 2,442 個在中國被視為政治敏感詞語或者粗言穢語,除了簡體中文之外,還包括繁體中文、英文以至藏語、維吾爾語等,不過 Citizen Lab 就未發現程式中呼叫審查敏感字功能。