波蘭網絡及數據安全調查機構「7ASecurity」聯同美國政府資助的「開放技術基金」(Open Technology Fund)日前發表報告,批評港府推行的「安心出行」防疫軟件存在重大漏洞。
這份長達55頁的報告提到,兩間機構展開聯合測試,共發現8個安全漏洞和4項一般弱點,其中3個較為嚴重,包括允許應用程序及其後台服務器被攔截、避開驗證系統獲取新冠疫苗接種和測試狀態,以及通過存儲卡獲取相關圖片。報告形容,專家們早於一個多月前向應用開發者Cherrypicks講述有關發現,但至今未有收到任何回覆。
「安心出行」應用程式。
報告同時發現,「安心出行」軟件代碼中包含Google Face detector和React Native Face Detector等人臉識別代碼庫,但在測試運行時未有發現「安心出行」能使用人臉識別和定位追蹤功能。
有份參與調查的「開放技術基金」認為,即使無法證明「安心出行」對香港公民展開惡意或未經授權的跟縱,但該程式未有經過任何「網絡安全」公司的專業審核,卻以某種方式強制執行9個月,最近更傳出要求實名註冊和追蹤用戶活動,情況令人擔憂。
針對報告內容,資訊科技總監辦公室昨日發聲明表示遺憾,形容報告內容不盡不實,強調「安心出行」中所有與個人私隱相關的資料,都經過遮蓋及加密處理。在推出新版本或新功能前,都會諮詢個人資料私隱專員公署的意見,以符合《私隱條例》的要求,同時第三方專業機構也會評估程式的私隱和資訊保安風險,相關報告早已上載至網站供公眾參閱。
資科辦重申,《安心出行》從來沒有使用人臉識別的功能,相關模組已按承諾移除,形容程式自推出一年多以來,有超過八百萬次下載,其間沒有出現任何保安或私隱事故。
有政壇中人話,這份報告炒作《安心出行》涉及安全漏洞和風險,但自己都明言,未能找到人臉識別功能,以及無法證明《安心出行》對香港公民展開惡意或未經授權的跟縱。政界中人笑言「這份報告為講而講,如此不盡不實、充滿猜想,只有盲從西方的人才會相信」。
Ariel
** 博客文章文責自負,不代表本公司立場 **
