新的研究发现了“我的 2022”应用程序的一些严重漏洞，运动员、记者、工作人员和其他参与北京 2022 年冬奥会的个人都需要该应用程序。该研究来自加拿大集团 Citizen Lab，该集团声称该应用程序不会验证来自主机的 SSL 加密证书。这可能允许恶意个人欺骗主机名，甚至将敏感数据重定向到非官方服务器。

Citizen Lab 提供了一个“health.customsapp.com”示例，解释了黑客如何操纵该应用程序来窃取数据。

“例如，由于该应用程序没有验证“health.customsapp.com”的 SSL 证书，攻击者通过干扰 MY2022 和“health.customsapp.com”之间的通信，可以欺骗“health.customsapp.com” ，使攻击者能够读取海关健康申报表中发送的受害者的敏感人口统计、护照、旅行和医疗信息，或在填写表格后向受害者发送恶意指令，”该研究公司表示(通过Android Police)。

此外，北京 2022 的所有参与者(包括管理员)都必须使用我的 2022 应用程序。该应用程序的官方目的是为参与和报道游戏的人们提供指导。参赛者必须在抵达北京前至少 14 天下载该应用程序。此外，个人还必须提交健康信息，例如疫苗接种状态和最近的 COVID-19 测试。

Citizen Lab 在 1 月中旬在 iOS 版 My 2022 应用程序的 2.0.0 和 2.0.5 版本中发现了这些漏洞。与此同时，根据公民实验室的说法，Android 版本的 My 2022 应用程序包含一个名为

“illegalwords.txt”的文件，其中包含 2,442 个“在中国被认为具有政治敏感性”的关键字列表。虽然这些关键词大部分是简体中文，但也包括繁体中文、藏语、维吾尔语和英语的关键词。

需要注意的是，尽管包含此文件确实引发了审查问题，但该研究公司表示，它“找不到任何使用这些关键字进行审查的功能”。

Citizen Lab 无法确认这是意外还是故意不活动。一种说法是，鉴于对中国审查制度的批评，组织者决定不推进该计划。北京 2022 年冬奥会的组织者尚未对这些新消息发表评论。