阿鬼
北京冬季奧運即將舉行,北京當局也似乎不介意多唔多人參與或出席,反而決定採用所謂「閉環」系統,限制可以出席的人數。此外,他們亦要求所有參加冬奧的記者、運動員、官員又或者工作人員,強逼安裝冬奧通MY2022的app,要在出發前14日就要開始使用。過往曾多次公開嚴重安全漏洞的加拿大Citizen Lab,亦針對冬奧運app作出研究,發現北京當局強逼出席者安裝的app中有最少兩項嚴重漏洞。
第一項重要的漏洞是app不能正常地驗證SSL證書,讓黑客可以假扮正常的伺服器。若黑客整了一個假的伺服器,用家使用app時無法知道已接駁至假的伺服器,加上app因不能正確驗證SSL,故此app仍然會傳送或接收資料。這表示用家經app儲存的私人資料、健康資訊、記錄等,就會傳送至假的伺服器,被黑客全面截取。
另一項漏洞就更大鑊的是,部份資料經app傳送時完全無加密。只要在同一個Wi-Fi網絡,黑客就可以輕鬆存取用戶資料,被黑客入侵,令用戶洩露隱私甚至成為被監控的對象。
此外,Citizen Lab亦發現Android版本有一些字詞敏感清單,包括六四、天安門、習近平、維吾爾人、達賴喇嘛,唯有關功能暫時未被啟動。美國當局已建議去北京出席的冬奧的人士,應使用即棄的手機。
