【大纪元2022年07月29日讯】(大纪元记者叶泽宇香港报导)波兰网络安全公司“7ASecurity”发表调查报告,表示香港政府强推的防疫应用程式“安心出行”存在多个安全漏洞,部分的风险程度达到高或严重,质疑程式未经任何网络安全公司的专业审核。资科办昨日发稿回应称报告“不尽不实”,对此表示遗憾及坚决反对。
调查团队测试了“安心出行”的安卓(3.1.0、3.2.0、3.2.3)和iOS(3.1.0、3.2.0、3.2.3)版本。由于没有访问测试用户、文档或源始码的权限,测试主要集中在逆向工程、反编译应用程式并分析程式运行时的行为。
报告显示,程式有至少8个安全漏洞,当中3个的风险级别为高或严重,包括“安心出行”的安卓3.2.3版本不能正确验证TLS(传输层安全性协定),程式和其后台服务器之间的流量可能被拦截,用户个人资料有泄漏风险;“安心出行”安卓版本会将疫苗接种纪录或病毒检测纪录储存在手机SD卡中,任何人都可以从SD卡读取资料等。团队认为,这反映程式未经任何网络安全公司的专业审核。
报告中提到已停运的传真社早前曾发现“安心出行”应用程式有人脸识别模组“React Native Face Detector”,而次调查亦发现另一个有人脸识别的模组“Google Face detector”。
报告亦说,已向应用开发者分享上述发现并作查询,但对方至今没有回复。
是次测试由波兰网络安全公司“7ASecurity”和美国独立非牟利组织“开放技术基金会”(Open Technology Fund)联合进行。
香港政府资讯科技总监办公室(资科办)在今年5月曾发声明,称“安心出行”程式已通过由独立第三方进行的私隐影响评估和资讯保安风险评估及审计,确保符合《个人资料(私隐)条例》的规定。
曾有组织质疑安心出行 保安风险评估不足
另外,本地资讯科技界组织“前线科技人员”去年11月曾在社交媒体发文,表示负责为“安心出行”作保安风险评估及审计只用几套现成工具来测试及审核,质疑只满足资讯安全最低最求。该组织称,“安心出行”涉及700万人私隐,认为如此程度的保安评估是远远不够,建议政府开放源码。
政府资讯科技总监办公室当时回应称,绝不认同有关质疑,称负责为程式作保安风险评估及审计的承办商是“优质资讯科技专业服务常备承办协议”下的合资格承办商,承办商人员持有合乎要求的资讯保安经验和专业认证。
现时“安心出行”安卓和iOS的最新版本均为“3.3.0”。翻查资料,政府资科办在5月4日曾发稿,指已推出“安心出行”3.2.3版本。
资科办昨日回应称,“安心出行”的设计、开发及使用一直以保障个人私隐为大前提,程式无须登记,储存所有与个人私隐相关的资料均经遮盖及加密处理。程式推出一年多以来,已有超过八百万个下载,从没有出现任何保安或私隐相关事故。
对于“安心出行”被指有人脸识别模组,资科办指已多次解说“安心出行”从来没有使用人脸识别的功能,相关人脸识别模组早已按承诺移除。
资科办称,“安心出行”严格遵守港府的资讯保安和私隐保障规例、要求和标准,程式的重要更新版本在推出前,均通过独立第三方机构进行的私隐影响评估,以及资讯保安风险评估及审计,以确保程式安全可靠。此外,“安心出行”每个版本均须通过各流动应用程式商店审批,确保遵守应用商店保护个人私隐的要求。资科办每次在“安心出行”加入新功能时,亦征询个人资料私隐专员公署的意见,确保符合《个人资料(私隐)条例》的规定。◇
责任编辑:陈玟绮
