現時相信大部份香港巿民都有裝安心出行防疫應用程式,不過日前波蘭網絡安全公司 7ASecurity 發表報告,指安心出行存在重大安全漏洞,包括程序及其後台伺服器有可能被攔截、繞過驗證系統獲取新冠疫苗接種和測試狀態等。
7ASecurity 網絡保安公司和美國獨立非營利組織「開放技術基金會」(Open Technology Fund)實驗室 27 日發表報告,指《安心出行》存在多個安全漏洞和弱點,包括:允許應用程序及其後台伺服器被攔截、可繞過驗證系統獲取新冠疫苗接種和測試狀態、通過 Android 系統的任務劫持進行網絡釣魚、利用 SD 卡獲取相關圖片、iOS 鑰匙圈使用上出現弱點、透過 iOS 備份中洩露的 iOS Firebase 取得應用程式通知等。
另外報告亦提到現時的安心出行在 Android 和 iOS 上缺少對越獄/Root 機檢測,在 Android 上支援不安全的 V1 簽章,使用不安全的加密函數和偽隨機數生成器 (PRNG) 等問題。報告指出,安心出行會記錄市民個人資料,但沒有事先經過任何網絡安全公司的專業審核。
報告又稱,Open Technology Fund 早在一個多月前( 6 月 26 日),就已經安心出行開發商 Cherrypicks 聯絡,指出有這些安全漏洞,並詢問這些問題是否已經得到解決,但沒有收到任何回覆。
至今日下午,資科辦發言人回應,指報告不盡不實的和不公道。安心出行為協助防疫抗疫的數碼工具,其設計、開發及使用一直以保障個人私隱為大前提,程式無須登記,儲存所有與個人私隱相關的資料均經遮蓋及加密處理。程式推出一年多以來,已有超過 800 萬個下載,是廣大香港市民每天慣常使用的數碼工具,從沒有出現任何保安或私隱相關事故。此外,資科辦早於今年 5 月就有關人臉識別模組的指控多次解說,重申「安心出行」無須亦從來沒有使用人臉識別的功能,相關人臉識別模組亦早已按承諾移除。
發言人再次強調,「安心出行」程式嚴格遵守香港特區政府的資訊保安和私隱保障規例、要求和標準,亦把程式的技術規格開誠布公上載網站供公眾查閱。程式的所有重要更新版本在推出前均通過獨立第三方專業機構進行的私隱影響評估,以及資訊保安風險評估及審計,以確保程式安全可靠,相關報告亦早已上載網站供公眾參閱。此外,「安心出行」每個版本均須通過各流動應用程式商店嚴謹的審批程序,確保在其商店推出的程式切實遵守保護個人私隱的要求。資科辦每次在「安心出行」流動應用程式加入新功能時,亦徵詢個人資料私隱專員公署的意見,確保符合《個人資料(私隱)條例》的規定。
【相關報道】
即刻【按此】,用 App 睇更多產品開箱科技影片
Source:7ASecurity、Open Technology Fund、新聞公報