昨日(27 日)獨立非營利組織「開放技術基金會」(Open Technology Fund)紅隊實驗室公佈,其與網絡安全公司 7ASecurity 針對「安心出行」聯合展開測試,包括黑盒安全審查 (WP1)及隱私審查(WP2),並發現「安心出行」存在多個嚴重安全漏洞,如允許應用程序及其後台服務器被攔截、可繞過驗證系統獲取新冠疫苗接種和測試狀態、通過 SD 卡獲取相關圖片等。
報告續稱,他們早在一個多月前已聯絡應用開發商 Cherrypicks,並通報了上述安全漏洞發現,然而未有收到任何回覆。報告另提及是次審測合共發現 8 個安全漏洞及 4 一般弱點;此外就 WP2 審查亦分別發現「安心出行」軟件的代碼中含有 Google Face detector 和 React Native Face Detector 這些人臉識別代碼庫。
針對該份安全報告所提出的潛在安全問題,政府資訊科技總監辦公室(OGCIO)今日(28 日)作出嚴正聲明。發言人表示,「安心出行」一直以保障個人私隱為大前提,程式無須登記,儲存所有與個人私隱相關的資料均經遮蓋及加密處理。程式推出一年多以來,從未出現任何保安或私隱相關事故。
強調已按承諾移除人臉識別模組
此外,資科辦早於今年五月就有關人臉識別模組的指控多次解說,重申「安心出行」無須亦從來沒有使用人臉識別的功能,相關人臉識別模組亦早已按承諾移除。發言人再次強調,「安心出行」程式嚴格遵守香港特區政府的資訊保安和私隱保障規例、要求和標準,亦把程式的技術規格開誠布公上載網站供公眾查閱。
程式的所有重要更新版本在推出前,均通過獨立第三方專業機構進行的私隱影響評估,以及資訊保安風險評估及審計,以確保程式安全可靠,相關報告亦早已上載網站供公眾參閱。此外,「安心出行」每個版本均須通過各流動應用程式商店嚴謹的審批程序,確保在其商店推出的程式切實遵守保護個人私隱的要求。資科辦每次在「安心出行」流動應用程式加入新功能時,亦徵詢個人資料私隱專員公署的意見,確保符合《個人資料(私隱)條例》的規定。