【大紀元2022年07月29日訊】(大紀元記者葉澤宇香港報導)波蘭網絡安全公司「7ASecurity」發表調查報告,表示香港政府強推的防疫應用程式「安心出行」存在多個安全漏洞,部份的風險程度達到高或嚴重,質疑程式未經任何網絡安全公司的專業審核。資科辦昨日發稿回應稱報告「不盡不實」,對此表示遺憾及堅決反對。
調查團隊測試了「安心出行」的安卓(3.1.0、3.2.0、3.2.3)和iOS(3.1.0、3.2.0、3.2.3)版本。由於沒有訪問測試用戶、文檔或源始碼的權限,測試主要集中在逆向工程、反編譯應用程式並分析程式運行時的行為。
報告顯示,程式有至少8個安全漏洞,當中3個的風險級別為高或嚴重,包括「安心出行」的安卓3.2.3版本不能正確驗證TLS(傳輸層安全性協定),程式和其後台服務器之間的流量可能被攔截,用戶個人資料有洩漏風險;「安心出行」安卓版本會將疫苗接種紀錄或病毒檢測紀錄儲存在手機SD卡中,任何人都可以從SD卡讀取資料等。團隊認為,這反映程式未經任何網絡安全公司的專業審核。
報告中提到已停運的傳真社早前曾發現「安心出行」應用程式有人臉識別模組「React Native Face Detector」,而次調查亦發現另一個有人臉識別的模組「Google Face detector」。
報告亦說,已向應用開發者分享上述發現並作查詢,但對方至今沒有回覆。
是次測試由波蘭網絡安全公司「7ASecurity」和美國獨立非牟利組織「開放技術基金會」(Open Technology Fund)聯合進行。
香港政府資訊科技總監辦公室(資科辦)在今年5月曾發聲明,稱「安心出行」程式已通過由獨立第三方進行的私隱影響評估和資訊保安風險評估及審計,確保符合《個人資料(私隱)條例》的規定。
曾有組織質疑安心出行 保安風險評估不足
另外,本地資訊科技界組織「前線科技人員」去年11月曾在社交媒體發文,表示負責為「安心出行」作保安風險評估及審計只用幾套現成工具來測試及審核,質疑只滿足資訊安全最低最求。該組織稱,「安心出行」涉及700萬人私隱,認為如此程度的保安評估是遠遠不夠,建議政府開放源碼。
政府資訊科技總監辦公室當時回應稱,絕不認同有關質疑,稱負責為程式作保安風險評估及審計的承辦商是「優質資訊科技專業服務常備承辦協議」下的合資格承辦商,承辦商人員持有合乎要求的資訊保安經驗和專業認證。
現時「安心出行」安卓和iOS的最新版本均為「3.3.0」。翻查資料,政府資科辦在5月4日曾發稿,指已推出「安心出行」3.2.3版本。
資科辦昨日回應稱,「安心出行」的設計、開發及使用一直以保障個人私隱為大前提,程式無須登記,儲存所有與個人私隱相關的資料均經遮蓋及加密處理。程式推出一年多以來,已有超過八百萬個下載,從沒有出現任何保安或私隱相關事故。
對於「安心出行」被指有人臉識別模組,資科辦指已多次解說「安心出行」從來沒有使用人臉識別的功能,相關人臉識別模組早已按承諾移除。
資科辦稱,「安心出行」嚴格遵守港府的資訊保安和私隱保障規例、要求和標準,程式的重要更新版本在推出前,均通過獨立第三方機構進行的私隱影響評估,以及資訊保安風險評估及審計,以確保程式安全可靠。此外,「安心出行」每個版本均須通過各流動應用程式商店審批,確保遵守應用商店保護個人私隱的要求。資科辦每次在「安心出行」加入新功能時,亦徵詢個人資料私隱專員公署的意見,確保符合《個人資料(私隱)條例》的規定。◇
責任編輯:陳玟綺
