这意味着中国互联网服务提供商或电信公司可以通过酒店、机场和奥运场馆的 Wi-Fi 热点读取这些数据。
公民实验室报告称,该应用程序对奥运会的参与者是强制性的,国际奥委会的官方指南指示参与者在来中国之前下载该应用程序。 但国际奥委会周二发表声明称,智能手机应用程序不是强制性的。
国际奥委会还反驳了公民实验室的报告,称两个独立的网络安全测试机构没有发现该应用程序存在严重漏洞。
中国要求所有国际奥运参赛者——包括教练和记者——至少在出发前14天登录健康监测系统。 他们可以使用该应用程序执行此操作,也可以通过 PC 上的网络浏览器登录。 该应用程序允许用户每天提交所需的健康信息,是中国在举办 2 月 4 日开始的比赛期间积极应对冠状病毒大流行的一部分。这款多功能应用程序还包括聊天功能、文件传输、天气更新、旅游推荐和GPS导航。
公民实验室的报告是在对运动员数据和隐私的高度关注之际发布的。 据新闻报道,许多国家建议他们的运动员不要将普通的智能手机带到中国,而是带上不存储任何敏感个人数据的临时或临时手机。
美国奥林匹克和残奥委员会向运动员发布了一项建议,告诉他们“假设每一个设备、每一次通信、交易和在线活动都将受到监控。”
“在中国开展业务时,不应期望数据安全或隐私,”该公告称。
中国在对其公民进行强力监视和对他人进行激进的网络间谍活动方面有着悠久的历史。 但公民实验室表示,没有证据表明 MY2022 应用程序中容易发现的安全漏洞是中国政府故意放置的。 报告称,一方面,该应用程序上保存的许多敏感健康信息都需要通过健康海关表格直接提交给当局。
Citizen Lab 表示,在 MY2022 应用程序中发现的安全漏洞与在流行的中国网络浏览器中发现的安全漏洞相似,并指出“对用户数据的保护不足是中国应用程序生态系统所特有的”。
报告称:“鉴于之前分析流行的中国应用程序的工作,我们关于 MY2022 的发现虽然令人担忧,但并不令人惊讶。”
公民实验室表示,它上个月向北京奥组委报告了安全问题,但没有收到回复。 该报告还表示,该应用程序的安全漏洞可能与苹果和谷歌针对 iPhone 和 Android 设备上使用的软件的政策相冲突。 两家公司没有立即回复置评请求。
MY2022 应用程序的 Android 版本包含一个名为“illegalwords.txt”的列表,其中包含 2,442 个关键字,其中一些可能具有政治敏感性,并且与中国对西藏和维吾尔族的行动有关。
该报告称,尽管该列表与该应用程序捆绑在一起,但它似乎不起作用。 中国政府长期以来一直要求科技公司审查被认为具有政治敏感性或不恰当的内容和关键词。
