「安心出行」令人不安

特區政府實施嚴格防疫監控措施,若閣下不安裝「安心出行」軟件,生活將帶來極大不便。換句話說,該軟件就是變相強迫安裝使用。西方國家同類型軟件為了釋除大眾疑慮而將軟件開源,證明的操作就是公佈的範圍,並集結所有人的力量解決臭蟲及安全隱患。特區政府以所謂知識產權為由拒絕開源,軟件有否額外功能便無法驗證,亦只有開發者及專業人士才有能力發現臭蟲及安全隱患。早前傳媒揭發軟件內藏不必要的面容識別模塊,政府稱已經指令軟件開發公司修正。近日,有團體委托網絡安全公司7AScecurity 對軟件進行私隱及安全測試。結果發現12個安全隱患,當中八個被分類為安全漏洞,其餘四個是一般弱點。所有安全問題當中有三個被判斷為嚴重級別,以Android軟件問題較多,包括軟件並沒有核實網上連線加密安全證書,令軟件與伺服器溝通時通訊可被截取,疫苗護照在某些情況下儲存於SD卡,取得SD卡就可取得個人資料,某些加密儲存使用已知有安全隱患的加密模塊。iOS版本的軟件則沒有充份使用iOS的資料保護功能,以致解密鎖匙留在記憶體當中,只要取得裝置,即使裝置鎖定仍可從記憶體中讀取解密鎖匙。

(郭威利/大紀元)
(郭威利/大紀元)

根本問題是整個程序

7AScecurity向政府查詢,政府不但沒有回覆,還透過資料辦發一份所謂嚴正聲明,斥責他人報告不盡不實,甚麼堅決反對,甚麼從未出現洩露資料事故,甚麼獨立第三方已審查軟件安全,私隱影響評估報全部符合要求云云。如何不實政府不作事實反駁,反而證明事實存在。沒有出現洩漏事故不等同沒有安全漏洞,只是未有發生又或已經發生但未有通報而已,僥倖不能作為辯解的理由。政府所謂獨立第三方報告,大家只要去網站下載看看,報告並無披露獨立第三方身份,測試了甚麼程序沒有詳細交代,查獲的所謂安全問題全被遮蓋,審查範圍透明度欠奉。其實7ASecurity暴露的遠不止是軟件安全問題,而是整個開發程序的根本問題。7ASecurity指發現的問題大部份軟件商都不會犯,懷疑是開發商馬虎草率所致。進行的測試都只是基本標準清單測試,獨立第三方審查居然沒有發現,令人懷疑這個獨立第三方在相關知識上沒有競爭能力。7ASecurity還發現另外兩個面容識別模塊,今年二月早已經被揭發軟件內藏面容識別模塊,政府指令移除,至今軟件已經更新幾個版本,可疑模塊依然存在,根本未有執行指令,整個監控及驗收程序亦出現問題。有行會成員在電台節目被問到安心出行擴充功能軟件繼續擴充功能,會否擔心個人資料安全,他竟然回答各處皆有個人資料,他並不擔心,完全忽略其他情況使用者有選擇權,而安心出行並無選擇的事實。可見個人資料安全在政府心目中的地位。

「一分二減三截斷」

安心出行功能越加越多,資料蒐集越來越廣,紅黃碼及實名制實施在即,還有其他強制使用的軟件等。因應事態發展,擔心資訊安全的用家有需要採取進一步行動應對資訊風險。基本概念就是「一分二減三截斷」。分即是將資訊分割,避免將所有資訊集中在同一裝置,同一軟件。方法是使用不同的手機,又或開幾個帳戶,將軟件重複安裝於不同帳戶內,因應不同情況時使用不同帳戶,萬一軟件出事,可避免全部資料同時洩漏。減即是減少資訊生產,只要好好計劃,還有很多情況不需要使用強制軟件。遮蓋裝置前置鏡頭、關掉精準位置、停止使用網絡通訊而改用Wi-Fi,都是減少生產資訊的好方法。截斷即全面封鎖可疑軟件的對外通訊,防止資訊洩漏。你可以使用一個沒有SIM卡的裝置,又或使用本欄以往曾經介紹的防火牆軟件,在不違反相關法例下停止軟件使用互聯網。

因應7ASecurity的其他發現,還要留意以下幾點。其一,因其強制加密連線功能,VPN不可或缺,而且要設定失去VPN即時終止所有通訊。其二,避免使用裝置內可移除取的任何記憶卡。其三,限制裝置未解鎖前的所有功能,例如訊息顯示、支付等。最後,任何時間都要注意手機的物理安全,機不離身。

一如7ASecurity建議,只要將軟件開源,就可解決大部份爭議,還可恢復市民對使用軟件的信心。無奈政府繼續我行我素,市民唯有自保,而提升相關知識及將知識變作執行,就是最佳方法。◇