居安抗疫急就章  保安漏洞或屬巧合?

自「居安抗疫」應用程式推出以來,不時有市民發現戴有手帶的受檢疫人士違令外出,坊間難免質疑電子手帶的成效。近日,網上更接連傳出「居安抗疫」系統可能存在保安風險的傳言,針對最新的網絡保安風險傳言,政府資訊科技總監辦公室(OGCIO)和保安專家就有以下回應。

昨日,連登上有網民披露「居安抗疫」應用程式採用了孟加拉開發者 Humayun kabir 的程式碼,受檢疫人士所輸入的個人資料並非直接由手機 app 傳送,而是導向至外在網頁來讓用戶填寫資料,原應為節省開發成本,讓 iOS 和 Android 可同時使用。然而網民「IT 小狗」亦指出,採用來歷不明的程式碼有機會造成 Cross-site Scripting 保安漏洞,即程式碼原開發者可以在繞過使用者的情況下任意修改或加入新的代碼,甚至加入惡意程式碼。

換句話説,有心人可以在無須知會 OCGIO 的情況下,在啟動手帶的網頁表格內加插非官方要求的資料欄,從而盜取受檢疫人士的個人資料。今晨,OCGIO 即公開澄清「居安抗疫」系統在政府私有雲平台上運作,所有經系統收集的資料均儲存於政府私有雲,受多重電腦保安措施保障,確保資訊安全。而 OCGIO 在「居安抗疫」系統投入服務前,已進行保安風險及私隱評估及審計;流動應用程式在上架前亦已通過有關發行平台審核,只需用戶輸入電話作為戶口登記,並不收集其他個人資料。

香港互聯網協會網絡保安及私隠小組召集人楊和生提醒市民,只要不填寫任何不必要的個人資料即可。

為應付疫情急就章  未臻完善情有可原

香港資訊科技商會榮譽會長方保僑則透露,程式開發者正埋首移除該涉事的第三方程式碼,又認為「居安抗疫」系統急就章,第一代電子手帶由本地物流及供應鏈多元技術研發中心(LSCM)配合政府抗疫要求而研發,然而除了成本考量,生產數量亦難以應付封關前激增的抵港人流,因此推出第三代採用 QR code 的監察手帶。

「(監察)手帶主要倚賴手機 app 進行監察,本身無任何電子零件,登記啟動後已無作用。新的藍牙手帶可以防剪,離開手機太遠或離家亦會發出警報,能更有效監察,但礙於數量有限,雖然早在第三代推出時已準備就緒,但就無法應付之前過關人流所需。如今人流下降,可以逐步採用。」方保僑認為系統太趕急上馬,但考慮到受檢疫人士的數目,無法妥善處理亦情有可原。

▲ 網上流傳一張截圖,事主表示安裝「居安抗疫」應用程式後旋即收到匯豐銀行的第三方登入活動通知,懷疑該應用程式竊取其個人資料。

匯豐上周起分批發出電郵  事件或屬巧合

不過禍不單行,今日網上又流傳一張截圖,事主表示安裝「居安抗疫」應用程式後旋即收到匯豐銀行的第三方登入活動通知,懷疑該應用程式竊取其個人資料。針對此保安威脅,楊和生表示有研究過「居安抗疫」應用程式,認為這情況若要成立,「居安抗疫」手機 app 須存取到匯豐銀行流動應用程式的資料,例如登入名稱等。

「在 iOS 下,無其他 app 可以存取到 HSBC App 的資料。他的情況,會否有用其他電腦經 VPN login?有無收到 HSBC 的 SMS 通知?」楊和生並指出,「居安抗疫」應用程式 iOS 版乃正式上架 App Store,由 Apple 把關,因此相信該應用程式含有後門惡意程式碼的機會不大。至於 Android 版本,他初步有檢視過上星期五的版本,認為手機 app 本身應沒問題。

由於匯豐銀行流動應用程式登入除需要用戶名稱及密碼,同時亦需要保安編碼(token)或以生物認證登入。方保僑指出對方不可能取得事主的生物認證,至於第三方如何能未經授權登入則要再深入了解。

據了解,其實匯豐銀行自 3 月 20 日起分批發出電郵(同上圖),因應偵測到有第三方整合應用程式(如 gini 綜合理財 app )曾嘗試使用客戶資料登入其銀行戶口而發出電郵提示,以保障客戶提防網絡罪行,免受欺詐和金融罪案影響的其中一項措施,並非針對單一個別銀行用戶的措舉。因此,有可能相信事主在安裝「居安抗疫」應用程式後收到該電郵屬時間上的巧合,而非出現保安問題。