【18:30更新】加入資科辦回應
政府一直強調,「安心出行」應用程式已通過私隱和資訊保安風險評估。不過,波蘭軟件測試公司「7ASecurity」受委託測試程式後發現,「安心」程式雖然未有未經授權的追蹤功能,但程式存有重大缺陷,有8項為安全漏洞和4項程式弱點,當中3項漏洞的嚴重性為高或危險,包括可以進行「中間人攻擊」等,質疑「安心」程式未曾被專業機構審核。
【新聞有價 記者有格 立即訂閱:https://bit.ly/3wGQh7c】
有關測試由美國機構「開放技術基金」提供資金。測試員於今年3月至4月花了17日測試,採用「黑箱」(blackbox)方式進行。結果發現程式有12項問題,包括可攔截應用程式及其後台服務器之間的傳輸(中間人攻擊)、通過Android的任務劫持進行網絡釣魚、利用SD卡或繞過驗證系統存取使用者的Covid-19感染狀態等。
現時已停運的傳真社5月曾揭發Android「安心」存有人臉識別的代碼庫。「7ASecurity」指,除了傳真社發現的「React Native Face Detector」代碼庫,他們亦發現「Google Face detector」和「React Native Face Detector」代碼庫,即使未能證實運行程式時有使用這些代碼庫,當局仍必須交代這些代碼庫會出現在程式碼之中的原因。
政府資訊科技總監辦公室傍晚發聲明嚴辭回應,對「有關不盡不實的報告和不公道的指控表示遺憾及堅決反對」。資科辦重申一直以保障個人私隱為大前提,程式儲存所有與個人私隱相關的資料時,均經遮蓋及加密處理,又指程式推出一年多以來,已有超過800萬個下載,從沒有出現任何保安或私隱相關事故。對於「安心」再被指有人臉識別模組,資科辦重申程式毋須亦從來沒有使用人臉識別的功能,相關人臉識別模組亦早已按承諾移除,又指「安心出行」所有重要更新版本在推出前,均通過獨立第三方專業機構進行的私隱影響評估,以及資訊保安風險評估及審計,報告早已上載網站。
