北京冬奧App遭批安全不足、檢肅內容，奧委會駁斥

2022年冬奧即將在2月4日到20日於北京舉行，但一項加拿大研究顯示北京冬奧專用App有多項安全隱私問題，還內建言論審查技術。不過國際奧委會駁斥這項研究發現。

多倫多大學公共事務學院下的公民實驗室（Citizen's Lab）針對北京冬奧開發的My2022 App的資料安全及隱私進行研究，並由德國之聲（DW）首先引述報導。研究人員指稱這款App資料傳輸安全性不足，蒐集許多資料卻也分享給許多單位，還有一個關鍵字詞審查清單。

My2022由中國國營北京金融控股集團所有，具多項功能，首先是COVID-19相關的健康監控。今年冬奧期間時值全球COVID-19風暴再起，北京當局為疫情管控，要求所有國內外選手及與會者在抵達北京前14天以前需下載My2022 App，每日以App回報健康狀況，也蒐集疫苗接種紀錄、以及COVID-19病毒檢測結果等。此外這個App還提供觀光導覽、GPS導航，以及各項設施服務的使用把關等。

根據My2022公開資訊，除了健康狀態，它會蒐集大量個人資料。針對外國使用者，這款App蒐集用戶人口學屬性（性別、年齡等）、護照資訊（發照日及到期日等）。此外它還會蒐集裝置識別碼、電信服務商並分享給該裝置業者，如華為、Oppo、Vivo，並且額外蒐集裝置上App資訊分享給騰訊、微博、地圖業者高德（AutoNavi）、語音辨識業者科大訊飛（iFlytek），理由是協助用戶使用它們提供的服務。

但研究人員發現My2022並未說明會將用戶健康紀錄分享給誰。另一方面，它又說明會在（且不僅只於）涉及國家安全、公衛事件及犯罪調查等情況下，不經用戶同意揭露個人資訊。

除了資訊隱私之外，加拿大研究人員另外也發現My2022的安全問題。例如北京冬奧伺服器，如tmail.beijing2022.cn部分內容傳輸連線未以SSL加密。另一些伺服器，如health.customsapp.com、my2022.beijing2022.cn等雖然採取SSL傳輸，但並未驗證SSL憑證，這可能讓攻擊者發動中間人攻擊，冒充合法網站以攔截用戶輸入的資訊，或是從惡意主機傳送假造內容到App。研究人員也發現數個和北京冬奧的伺服器SSL連線可能曝險。

另一方面，My2022還可能扮演言論審查者的角色。研究人員發現My2022提供了舉報他人的政治敏感言論的功能。此外，Android版My2022包含一個「illegalwords.txt」檔，內有2400多個審查關鍵字詞，大部份是簡體中文，少部份為繁體中文、藏文及維吾爾語。字詞類別涵括罵人三字經、色情、非法物質（如製作爆裂物的成份），以及大量政治敏感用語，法輪功、天安門（如「捌玖陸肆紀念」）、習近平等。但研究人員表示這些關鍵詞並未用於實際的言論過濾。

研究人員相信，蒐集敏感資訊卻防護不足的My2022，已違反了Google Play及蘋果App Store審查規範，

研究人員於去年年底完成調查後，於12月3日將報告發現分享給了北京冬奧及帕奧主辦單位。截至45日後的1月18日未獲得回應，於是向媒體公布研究發現。

國際奧委會（International Olympic Games，IOC）昨日對媒體反駁這項指控，表示My2022是防範COVID-19的重要工具，其功能首要任務是支持健康監控。

在對ZDNet的聲明中，IOC也強調，為了防疫，My2022 App必須採取特別措施以確保冬奧及帕奧與會者、以及中國民眾的安全。IOC並指這款App都已經通過Google Play Store及蘋果App Store的審查。