波蘭網絡及數據安全調查機構「7ASecurity」聯同美國政府資助的「開放技術基金」(Open Technology Fund)日前發表報告,批評港府推行的「安心出行」防疫軟件存在重大漏洞。
這份長達55頁的報告提到,兩間機構展開聯合測試,共發現8個安全漏洞和4項一般弱點,其中3個較為嚴重,包括允許應用程序及其後台服務器被攔截、避開驗證系統獲取新冠疫苗接種和測試狀態,以及通過存儲卡獲取相關圖片。報告形容,專家們早於一個多月前向應用開發者Cherrypicks講述有關發現,但至今未有收到任何回覆。
「安心出行」應用程式。
報告同時發現,「安心出行」軟件代碼中包含Google Face detector和React Native Face Detector等人臉識別代碼庫,但在測試運行時未有發現「安心出行」能使用人臉識別和定位追蹤功能。
有份參與調查的「開放技術基金」認為,即使無法證明「安心出行」對香港公民展開惡意或未經授權的跟縱,但該程式未有經過任何「網絡安全」公司的專業審核,卻以某種方式強制執行9個月,最近更傳出要求實名註冊和追蹤用戶活動,情況令人擔憂。
針對報告內容,資訊科技總監辦公室昨日發聲明表示遺憾,形容報告內容不盡不實,強調「安心出行」中所有與個人私隱相關的資料,都經過遮蓋及加密處理。在推出新版本或新功能前,都會諮詢個人資料私隱專員公署的意見,以符合《私隱條例》的要求,同時第三方專業機構也會評估程式的私隱和資訊保安風險,相關報告早已上載至網站供公眾參閱。
資科辦重申,《安心出行》從來沒有使用人臉識別的功能,相關模組已按承諾移除,形容程式自推出一年多以來,有超過八百萬次下載,其間沒有出現任何保安或私隱事故。
有政壇中人話,這份報告炒作《安心出行》涉及安全漏洞和風險,但自己都明言,未能找到人臉識別功能,以及無法證明《安心出行》對香港公民展開惡意或未經授權的跟縱。政界中人笑言「這份報告為講而講,如此不盡不實、充滿猜想,只有盲從西方的人才會相信」。
Ariel
** 博客文章文責自負,不代表本公司立場 **
上訴庭今日 (2月23日)駁回「35+顛覆案」中被裁定罪成的12名被告上訴,全部被告監禁刑期維持在4年5個月至7年9個月。
上訴庭認為,定罪被告在初選的謀劃,由首被告戴耀廷構想及宣揚,旨在迫使行政長官辭職、癱瘓政府及強逼中央人民政府宣佈結束一國兩制,而相關謀劃是嚴重干擾、阻撓、破壞、甚至顛覆香港特區憲制秩序的手段,形容是「大殺傷力憲制武器」,是《國安法》顛覆罪條文下的「非法手段」,原審量刑沒有明顯過重。
值得留意的是,上訴庭的判詞中提到,原審法庭拒絕接納該謀劃「不可能成事」作為求情理由,上訴庭認為做法正確,因為任誰都不能抹煞該謀劃的可能性,斷言即使謀劃參與者當選,仍不過是立法會的少數,而謀劃將「注定失敗」。上訴庭認為,以2019和2020年的動盪情況而言,實難保立法會內形勢不會傾向被告或理念相近的人。
事實上,在35+顛覆案的過去庭審中,多名被告如何桂藍、陳志全、鄒家成等都曾提出這種論調,作供稱不相信或「35+」、即取得立法會過半議席的目標能達成。
而今次提出上訴的12名被告中,代表何桂藍的一方就曾在上訴審訊中指,自己根本不相信「35+」能達成,因她肯定自己會被DQ。而翻查資料,何桂藍於2023年7月18日的庭審作供時提到,自己認為中央不會容許民主派在立法會得過半議席。
被判7年9個月刑期的鄒家成一方,在上訴審訊中亦曾指,鄒不相信「35+」會成功,因他相信政府會DQ初選的勝出者及其 Plan B。
鄒家成早於2023年8月原審出庭自辯時就指,他始終不信「35+」這個「神話」,但他作為政治素人,沒豐富政治資本,要在「初選」勝出有困難,他供稱:「當時冇諗咁多,因為我由始至終都唔相信35+呢個『神話』。」
當時法官曾問鄒,不少被告在庭上都稱不相信「35+」,是否有人曾在協調會議上向戴耀廷反映?鄒當時答沒有,指以他觀察,表面上支持35+的參選人可分為三類:第一類是明知35+不可能,但仍繼續宣揚,「販賣假希望」;第二類則是相信35+有可能,形容是「帶一點天真嘅理想主義者」;而第三類明知35+不可能,但仍盡力完成這項「任務」。
另一被告陳志全亦曾在2023年8月原審作供時提到,他在2020年就對能否實現35+抱很大懷疑,認為民主派取得30席機會就很微,但他仍在宣傳片和街站繼續宣傳「35+」,因當時社會彌漫「無力感」,藉此呼籲鼓勵人出嚟投票,但認為是不可能達成的主張。
而上訴庭亦進一步認為,以2019和2020年的動盪情況來說,實難保立法會內形勢不會傾向被告及理念相近的人,難斷言謀劃是「注定失敗」。
