【獨媒報導】一間網絡安全公司發表報告,測試「安心出行」程式的安全性,結果發現存在嚴重保安漏洞,包括允許應用程式及後台伺服器被攔截,避開驗證系統從而獲得用戶的打針紀錄及檢測資料,並儲存及獲取相關圖像。政府資訊科技總監辦公室下午發聲明反駁該報告「不盡不實」和「不公道」,強調「安心出行」使用一年多,從沒有出現任何保安或私隱事故。
報告長達55頁,由 7ASecurity 網絡安全公司和美國非牟利組織「開放科技基金」(Open Technology Fund)聯合展開測試後撰寫發報。測試有12個發現,其中8個被列為保安弱點(security vulnerabilities),當中3個保安弱點被評為嚴重或重要弱點(severity level of high or critical)。嚴重保安弱點包括:程式允許應用程序及其後台服務器被攔截、避開驗證系統獲取新冠疫苗接種和測試狀態、通過存儲卡獲取相關圖片等等。報告又指出,這「安心出行」程式沒有事先經過任何「網絡安全」公司的專業審核。
沒發現人臉識別功能運作
有關「人臉識別」的部分,報告指出雖然程式有人臉識別的代碼,但在測試運行時無發現程式可以使用人臉識別功能,亦沒有發現定位追蹤功能。
報告總結指,程式的私隱漏洞不能證明惡意意圖,或者設計用來追蹤香港市民,但指程式在推出前,從未經過網絡安全公司的專業審核。
政府反駁從來亦毋須使用人臉識別
政府資訊科技總監辦公室下午發聲明,批評有關報告不盡不實的報告和作出不公道指控,表示遺憾及堅決反對。資科辦強調「安心出行」程式推出一年多,已有逾800萬個下載,從沒有出現任何保安或私隱相關事故。就人臉識別模組的指控,政府重申「安心出行」毋須亦從來沒有使用人臉識別的功能,相關人臉識別模組亦早已按承諾移除。
資科辦又反駁,「安心出行」的技術規格開誠布公上載網站供公眾查閱;程式的所有重要更新版本在推出前均通過獨立第三方專業機構進行的私隱影響評估,以及資訊保安風險評估及審計,以確保程式安全可靠,相關報告亦早已上載網站供公眾參閱。而在每次加入新功能時,都會諮詢個人資料私隱專員公署的意見,符合《私隱條例》要求。