一份新报告称，运动员下月在中国参加冬季奥运会时必须使用的一款报告健康和出行数据的智能手机应用程序存在严重的加密漏洞，这让人们对北京计划用来跟踪新冠病毒疫情的系统的安全性提出了质疑。

据多伦多大学网络安全监察部门“公民实验室”的报告，该应用程序传输新冠病毒检测结果、出行信息及其他个人数据的部分没有验证加密传输中使用的签名，或根本没有对数据进行加密。这个实验室还发现，该应用程序的代码中包括一系列标记为审查对象的政治词汇，不过它似乎并没有启动该词汇表来过滤通讯内容。

中国已进入冬奥会的最后筹备阶段，该国试图通过隔绝运动员及其他参与者与更大范围内中国人的接触，来控制新冠病毒的传播。这款名为“冬奥通”(MY2022)的应用程序旨在加强这些预防措施，让政府与参与者进行电子连接，以便在出现疫情时对接触者进行追踪。它类似于一个基于手机应用的更广泛健康代码系统，在发生疫情时用来控制人口流动。

新的关切凸显了人们对于冬奥会期间受到审查和监视的广泛担忧，中国拥有世界上一些最先进的监视和审查手段。官方表示，将为运动员提供让他们绕过中国互联网上普遍存在的屏蔽，能上Facebook、谷歌和Twitter等网站的移动数据服务。

公民实验室在报告中写道，它已于去年12月3日向北京奥组委披露了这些安全漏洞，但没有收到任何回应。今年1月发布的软件更新并没有解决安全漏洞问题，这很可能导致该应用程序违反了中国新颁布的个人数据保护法，也违反了谷歌和Apple的软件商店要求上架应用程序遵守的隐私政策。

Apple和谷歌没有立即回复记者的置评请求。

长期以来，不完全的加密或根本不加密等问题一直困扰着中国的科技行业。该行业面临着充满挑战的双重任务，既要保护消费者数据，又要与政府的审查员和监视部门共享数据。

从新冠病毒疫情的早期开始，中国政府一直靠基于手机应用的跟踪来控制疫情，对住在出现确诊病例后被封城市的居民进行监视。有时，这些监控系统不够安全或不够透明。2020年发生过阿里巴巴平台的追踪软件在没有警告用户的情况下，马上向当地警方泄露个人数据的事件。

跟踪新冠病毒感染情况的手机应用一直存在大量的安全漏洞。为了跟上新冠病毒的传播速度，许多国家匆忙推出了这些应用程序，随后又为解决应用程序糟糕的安全问题忙得不可开交。人权组织警告，这些应用程序的设计缺陷让人们面临诈骗、身份被盗或被政府大范围跟踪的风险，还可能破坏公众对公共卫生措施的信任。

2020年4月，挪威推出了一款名为Smittestopp（意为“停止感染”）的智能手机应用程序，如果用户与感染了新冠病毒的用户有过接触，该应用就会发出警告。但到2020年6月时，数据保护监管者提出了担忧，认为该应用加强监控的风险超过了其未经证实的对公共健康的益处。一个月后，挪威的数据监管者对这款应用实行了临时禁令。

在筹备2021年东京奥运会期间，日本曾开发了一款对外国游客进行密接追踪的手机应用，但人们很快就开始担心该软件存在漏洞，以及是否所有游客都拥有可以安装该应用软件的智能手机。

公民实验室的报告称，冬奥通没有与接收其传输数据的服务器确认一个特有的加密签名。实际上，这意味着黑客可在中国官员不一定知情的情况下拦截数据。这款应用的其他部分，比如软件自带的短信服务，未能对元数据进行加密，让无线网络服务或电信运营商可以很容易地检测到哪部手机在什么时间向哪部手机发送了短信。

“人们用该应用传输的所有信息都可能被拦截，尤其是在使用咖啡店或酒店等不受信任的Wi-Fi时，”公民实验室的研究助理、该报告的作者之一杰弗里·诺克尔说。他还表示，通过这种方式获取的敏感信息可用于身份盗窃。

目前还不清楚这些安全漏洞是否是有意为之，但报告推测，符合规则的加密可能会干扰中国一些无处不在的在线监控工具，尤其是让地方当局能窥探那些使用公共或网吧无线网络的手机的系统。研究人员补充说，这些缺陷可能是有意的，因为政府已经在从应用程序接收数据，所以就没有必要在数据传输过程中拦截数据了。

“在使用这个应用程序的过程中，人们已经在直接向中国政府发送数据，”诺克尔说。

据公民实验室称，这款应用还包括一个包含2422个政治关键词的清单，它在代码中的名字是“illegalwords.txt”（意为非法词汇）。研究人员说，该清单看来是个潜在功能，目前没有在这款应用的聊天和文件传输功能中启用。

敏感词清单在中国社交媒体应用程序中很常见，这是政府为防止传播其不愿看到的政治话题而设置的多层次审查系统的第一道防线。

公民实验室说，清单上主要是涉及天安门广场大屠杀的词汇、常见的批评中国共产党的言论，以及中国国家主席习近平的名字。有关习近平名字的审查尤其严格。清单上还有一些其他语言的词汇，比如藏语中指达赖喇嘛的词语和维吾尔语中指古兰经的词语。

“他们可以轻而易举地启用这个审查清单，”诺克尔说。