《安心出行》又被揭漏洞?波蘭網絡及數據安全調查機構「 7ASecurity 」及美國獨立非營利組織「開放技術基金會」(Open Technology Fund) 早前檢驗全球多個地區使用的防疫管理應用程式,並在日前發表報告指目前市民使用的《安心出行》存在多個嚴重安全漏洞,可能會造成大量市民的個人資料被竊取的風險。
報告指《安心出行》存在 8 個安全漏洞和 4 個一般弱點,包括允許手機程式及伺服器被攔截(中間人攻擊)、容許避開驗證而獲取疫苗接種和測試記錄、容許將針卡和檢測紀錄以圖片方式存放在不安全的 SD 卡等等,都會造成個人資料被竊取的風險,如果不儘快堵塞相關漏洞而推出實名登記來使用《安心出行》情況將不堪設想。
8 個安全漏洞
- 通過無效的 TLS 證書作出沒有警告的中間人攻擊(嚴重)
- 可通過 Android 系統的任務劫持進行網絡釣魚(中)
- 在 Android 和 iOS 透過缺失的保安畫面進行洩密(低)
- 通過不安全的 SD 卡使用來取得 COVID 狀態(高)
- 利用邏輯漏洞繞過授權取得 COVID 狀態(高)
- 在 iOS 鑰匙圈使用上出現弱點(中)
- 通過缺失的數據保護取得 COVID 狀態(中)
- 可透過 iOS 備份中洩露的 iOS Firebase 裝置令牌取得應用程式通知(低)
4 個一般弱點
- 在 Android 和 iOS 上缺少對越獄/Root 機檢測
- 在 Android 上支援不安全的 V1 簽章
- Android 二進碼加固建議
- 使用不安全的加密函數和偽隨機數生成器 (PRNG) (中)
報告亦表示《安心出行》會記錄市民個人資料的防疫管理應用程式,但未有經過網絡安全機構的專業審查,做法並不可取。 Open Technology Fund 早在一個月前( 6 月 26 日)嘗試與《安心出行》的開發商中國網龍旗下的 Cherrypicks 聯絡,提出調查報告發現的安全漏洞,希望有關方面能正視問題並作出改善,不過到目前為止亦未獲回應。
今年 5 月,香港新聞通訊社傳真社的調查報導中指出《安心出行》軟件的代碼中還有一個未使用的人臉識別模組,及後有關軟件的開發商亦在電台節目訪問中承認,雖然「安心出行」軟件的代碼中的確有人臉識別模組,但一直未有使用,並表示打算將有關人臉識別模組從代碼中刪除。而根據香港政府新聞處於今年 5 月 3 日的新聞發佈,《安心出行》軟件有邀請第三方機構進行安全風險評估和審核,以確保這款軟件遵守香港《個人資料(私隱)條例》,但未有公開該機構及相關的網絡安全調查結果內容。
另外,今年初冬奧會所用的手機程式《My 2022》,亦被發現存在 SSL/TLS 證書未能驗證有效性的漏洞,性質和今次報告發現的中間人攻擊漏洞相同。
完整報告內容:按此