港安心出行漏洞多 或成中共把柄
香港政府推出的「安心出行」軟件被曝存在安全漏洞。該軟件上的個人出行數據將被上傳到香港健康碼,而後者已經加入中國大陸的健康碼系統。安心出行因此恐淪為中共大數據戰略的一部分。
美國政府資助的「開放技術基金」今年7月聘請技術安全公司7ASecurity對「安心出行」進行安全審計發現,該軟件存在8個安全漏洞、4個弱點。
一個嚴重漏洞是,安心出行無法正確驗證TLS證書,這允許黑客在用戶沒有收到任何警告的情況下進行中間人攻擊。惡意攻擊者可以利用這個弱點來攔截流量,比如在用戶登錄香港健康碼系統的時候進行攔截,以獲得用戶的香港身分證和密碼,也可能獲取個人一次性密碼。
另一個嚴重漏洞是,該軟件將信息儲存在不安全的SD卡,可能洩露個人新冠病毒感染信息。例如,小偷可以取出SD卡並將其插入計算機以讀取這些數據,而無需知道密碼或解鎖圖案。
第三個嚴重漏洞是,外人可以輕易繞過密碼和指紋要求,只需輕按屏幕,就可訪問個人的新冠疫苗接種狀態和測試結果。
安心出行的隱私保護功能也存在缺陷。比如在某些安卓設備上,該軟件無法驗證正確的TLS證書,導致在傳輸過程中疫情數據如香港健康碼系統證書被洩露。
又比如,由於缺乏安全屏幕,個人新冠病毒感染狀態通過屏幕截圖被洩露。
香港健康碼把港人信息傳到大陸令港人面臨安全風險的「安心出行」,脫胎於大陸的健康碼。
2020年11月,香港政府以防疫為由推出流動應用程式「安心出行」,要求市民在進入政府辦公場所以及餐廳、戲院等公共場所時掃描二維碼。當時,香港政府聲稱是自願參與。
但在2021年11月,港府改變決定,要求所有市民和政府員工進入政府大樓和辦公場所之前,包括政府圖書館、體育館、政府菜市場和熟食中心等,必須使用「安心出行」。立法會、醫院管理局、司法機構也相繼要求市民掃描「安心出行」二維碼。
緊接著在2021年12月,香港政府宣布開通香港健康碼系統。申請人須填寫姓名、身分證號碼、電話號碼、居住地址、住址證明等個人資料,並要求用戶通過「安心出行」將過去31天的出行紀錄上傳至香港健康碼系統。
香港健康碼加入廣東與澳門的健康碼系統及數據互認機制,並允許中共當局在某些情況下訪問香港居民的個人旅行記錄。香港政府資訊科技總監林偉喬說,香港健康碼將允許中共當局在用戶感染或有風險的情況下訪問旅行記錄。
健康碼的背後是中共大數據戰略中共通過健康碼這樣一個系統,將大陸和香港「統一」了。而健康碼,已經被大陸媒體公開承認為中共大數據戰略的一部分。
《中國新聞週刊》今年1月報導說,健康碼快速上線,背後是大數據戰略。文章披露,浙江省健康碼創建於2020年2月13日,是中國第一個省級健康碼。
中國手機用戶在阿里巴巴的支付寶平台上申領「健康碼」,根據申請者填寫的個人健康狀況、出行記錄及聯繫人等數據,系統產生紅、黃、綠三種顏色的二維碼,作為判斷個人能否外出、通行的依據。
該文章說,大數據已成為中共的國家戰略。在2021年12月29日,中共國家發展改革委等部門下發通知,加速推進「東數西算」工程,啟動建設全國一體化算力網絡國家樞紐節點。這些節點共有八個,分別位於貴州、甘肅、內蒙古、寧夏,以及京津冀、長三角、成渝、粵港澳地區。
美國國家安全顧問傑克·沙利文(Jake Sullivan)去年夏天曾表示:「我們的戰略競爭對手(中共)將大數據視為一種戰略資產。」前美國國家安全副顧問博明(Matt Pottinger)也撰文說,大數據在中共野心當中處於核心地位。
華東江蘇大數據交易中心副主任李可順告訴《中國新聞週刊》,健康碼包含四大數據,第一是公安部門的戶籍信息;第二是個人申報的健康數據,比如體溫及當前症狀;第三是個人出行數據,既包括通信管理部門協調運營商提供的手機信令位置,也包括鐵路和航空交通出行數據;第四是由衛健疾控部門提供的就診信息。
該文章強調,健康碼的一個重要功能是「負責採集更精準的位置信息」。「在大多數城市,當你出入公共場所,會被要求在門口掃碼登記,而手動的掃碼登記,比被動的手機基站定位誤差更小。」
阿里「健康碼」啟動大約一個月後,中國24個省的200多個城市都在使用。中國另一互聯網巨頭騰訊也在差不多同一時間推出微信「健康碼」。其在上線100天後,共覆蓋中國10億人口、400多個市縣、5100多個村莊。從社區到工作場所,都需要民眾出示健康碼才允許進出。
健康碼成為中共管控民眾工具健康碼這個大數據系統,表面上是中共的防疫工具,實際上成為中共管控民眾的工具。
2021年11月6日,維權律師謝陽準備打算乘坐飛機到上海探望公民記者張展的母親,臨行前遭遇警察阻止。謝陽仍然前往機場。在上飛機前,他的健康碼突然變紅,並遭到防疫人員攔截。他所在的城市長沙當時沒有確診病例。
「我重申,這段時間,我從未離開過長沙!這一切,都是迫害!」謝陽在推特上表示。
《紐約時報》通過對健康碼的代碼分析發現,一旦用戶授權該軟件訪問個人數據,一個名為「向警方報告信息和地點」的程序就會把用戶的位置、城市名稱和識別編碼發送給服務器。
人權觀察組織中國研究員王松蓮表示,「冠狀病毒爆發將會是中國(中共)開展大規模監控歷史上的里程碑事件之一。」
責任編輯:連書華#