這意味著中國互聯網服務提供商或電信公司可以通過酒店、機場和奧運場館的 Wi-Fi 熱點讀取這些數據。
公民實驗室報告稱,該應用程序對奧運會的參與者是強制性的,國際奧委會的官方指南指示參與者在來中國之前下載該應用程序。 但國際奧委會周二發表聲明稱,智能手機應用程序不是強制性的。
國際奧委會還反駁了公民實驗室的報告,稱兩個獨立的網路安全測試機構沒有發現該應用程序存在嚴重漏洞。
中國要求所有國際奧運參賽者——包括教練和記者——至少在出發前14天登錄健康監測系統。 他們可以使用該應用程序執行此操作,也可以通過 PC 上的網路瀏覽器登錄。 該應用程序允許用戶每天提交所需的健康信息,是中國在舉辦 2 月 4 日開始的比賽期間積極應對冠狀病毒大流行的一部分。這款多功能應用程序還包括聊天功能、文件傳輸、天氣更新、旅遊推薦和GPS導航。
公民實驗室的報告是在對運動員數據和隱私的高度關注之際發布的。 據新聞報道,許多國家建議他們的運動員不要將普通的智能手機帶到中國,而是帶上不存儲任何敏感個人數據的臨時或臨時手機。
美國奧林匹克和殘奧委員會向運動員發布了一項建議,告訴他們「假設每一個設備、每一次通信、交易和在線活動都將受到監控。」
「在中國開展業務時,不應期望數據安全或隱私,」該公告稱。
中國在對其公民進行強力監視和對他人進行激進的網路間諜活動方面有著悠久的歷史。 但公民實驗室表示,沒有證據表明 MY2022 應用程序中容易發現的安全漏洞是中國政府故意放置的。 報告稱,一方面,該應用程序上保存的許多敏感健康信息都需要通過健康海關表格直接提交給當局。
Citizen Lab 表示,在 MY2022 應用程序中發現的安全漏洞與在流行的中國網路瀏覽器中發現的安全漏洞相似,並指出「對用戶數據的保護不足是中國應用程序生態系統所特有的」。
報告稱:「鑒於之前分析流行的中國應用程序的工作,我們關於 MY2022 的發現雖然令人擔憂,但並不令人驚訝。」
公民實驗室表示,它上個月向北京奧組委報告了安全問題,但沒有收到回復。 該報告還表示,該應用程序的安全漏洞可能與蘋果和谷歌針對 iPhone 和 Android 設備上使用的軟體的政策相衝突。 兩家公司沒有立即回復置評請求。
MY2022 應用程序的 Android 版本包含一個名為「illegalwords.txt」的列表,其中包含 2,442 個關鍵字,其中一些可能具有政治敏感性,並且與中國對西藏和維吾爾族的行動有關。
該報告稱,儘管該列表與該應用程序捆綁在一起,但它似乎不起作用。 中國政府長期以來一直要求科技公司審查被認為具有政治敏感性或不恰當的內容和關鍵詞。