【大纪元2022年08月01日讯】(大纪元专题部记者江枫综合报导)香港政府推出的“安心出行”软件被曝存在安全漏洞。该软件上的个人出行数据将被上传到香港健康码,而后者已经加入中国大陆的健康码系统。安心出行因此恐沦为中共大数据战略的一部分。
美国政府资助的“开放技术基金”今年7月聘请技术安全公司7ASecurity对“安心出行”进行安全审计发现,该软件存在8个安全漏洞、4个弱点。
一个严重漏洞是,安心出行无法正确验证TLS证书,这允许黑客在用户没有收到任何警告的情况下进行中间人攻击。恶意攻击者可以利用这个弱点来拦截流量,比如在用户登录香港健康码系统的时候进行拦截,以获得用户的香港身份证和密码,也可能获取个人一次性密码。
另一个严重漏洞是,该软件将信息储存在不安全的SD卡,可能泄露个人新冠病毒感染信息。例如,小偷可以取出SD卡并将其插入计算机以读取这些数据,而无需知道密码或解锁图案。
第三个严重漏洞是,外人可以轻易绕过密码和指纹要求,只需轻按屏幕,就可访问个人的新冠疫苗接种状态和测试结果。
安心出行的隐私保护功能也存在缺陷。比如在某些安卓设备上,该软件无法验证正确的TLS证书,导致在传输过程中疫情数据如香港健康码系统证书被泄露。
又比如,由于缺乏安全屏幕,个人新冠病毒感染状态通过屏幕截图被泄露。
香港健康码把港人信息传到大陆
令港人面临安全风险的“安心出行”,脱胎于大陆的健康码。
2020年11月,香港政府以防疫为由推出流动应用程式“安心出行”,要求市民在进入政府办公场所以及餐厅、戏院等公共场所时扫描二维码。当时,香港政府声称是自愿参与。
但在2021年11月,港府改变决定,要求所有市民和政府员工进入政府大楼和办公场所之前,包括政府图书馆、体育馆、政府菜市场和熟食中心等,必须使用“安心出行”。立法会、医院管理局、司法机构也相继要求市民扫描“安心出行”二维码。
紧接着在2021年12月,香港政府宣布开通香港健康码系统。申请人须填写姓名、身份证号码、电话号码、居住地址、住址证明等个人资料,并要求用户通过“安心出行”将过去31天的出行纪录上传至香港健康码系统。
香港健康码加入广东与澳门的健康码系统及数据互认机制,并允许中共当局在某些情况下访问香港居民的个人旅行记录。香港政府资讯科技总监林伟乔说,香港健康码将允许中共当局在用户感染或有风险的情况下访问旅行记录。
健康码的背后是中共大数据战略
中共通过健康码这样一个系统,将大陆和香港“统一”了。而健康码,已经被大陆媒体公开承认为中共大数据战略的一部分。
《中国新闻周刊》今年1月报导说,健康码快速上线,背后是大数据战略。文章披露,浙江省健康码创建于2020年2月13日,是中国第一个省级健康码。
中国手机用户在阿里巴巴的支付宝平台上申领“健康码”,根据申请者填写的个人健康状况、出行记录及联系人等数据,系统产生红、黄、绿三种颜色的二维码,作为判断个人能否外出、通行的依据。
该文章说,大数据已成为中共的国家战略。在2021年12月29日,中共国家发展改革委等部门下发通知,加速推进“东数西算”工程,启动建设全国一体化算力网络国家枢纽节点。这些节点共有八个,分别位于贵州、甘肃、内蒙古、宁夏,以及京津冀、长三角、成渝、粤港澳地区。
美国国家安全顾问杰克·沙利文(Jake Sullivan)去年夏天曾表示:“我们的战略竞争对手(中共)将大数据视为一种战略资产。”前美国国家安全副顾问博明(Matt Pottinger)也撰文说,大数据在中共野心当中处于核心地位。
华东江苏大数据交易中心副主任李可顺告诉《中国新闻周刊》,健康码包含四大数据,第一是公安部门的户籍信息;第二是个人申报的健康数据,比如体温及当前症状;第三是个人出行数据,既包括通信管理部门协调运营商提供的手机信令位置,也包括铁路和航空交通出行数据;第四是由卫健疾控部门提供的就诊信息。
该文章强调,健康码的一个重要功能是“负责采集更精准的位置信息”。“在大多数城市,当你出入公共场所,会被要求在门口扫码登记,而手动的扫码登记,比被动的手机基站定位误差更小。”
阿里“健康码”启动大约一个月后,中国24个省的200多个城市都在使用。中国另一互联网巨头腾讯也在差不多同一时间推出微信“健康码”。其在上线100天后,共覆盖中国10亿人口、400多个市县、5100多个村庄。从社区到工作场所,都需要民众出示健康码才允许进出。
健康码成为中共管控民众工具
健康码这个大数据系统,表面上是中共的防疫工具,实际上成为中共管控民众的工具。
2021年11月6日,维权律师谢阳准备打算乘坐飞机到上海探望公民记者张展的母亲,临行前遭遇警察阻止。谢阳仍然前往机场。在上飞机前,他的健康码突然变红,并遭到防疫人员拦截。他所在的城市长沙当时没有确诊病例。
“我重申,这段时间,我从未离开过长沙!这一切,都是迫害!”谢阳在推特上表示。
《纽约时报》通过对健康码的代码分析发现,一旦用户授权该软件访问个人数据,一个名为“向警方报告信息和地点”的程序就会把用户的位置、城市名称和识别编码发送给服务器。
人权观察组织中国研究员王松莲表示,“冠状病毒爆发将会是中国(中共)开展大规模监控历史上的里程碑事件之一。”
责任编辑:连书华#
