波蘭網絡安全公司發現安心出行安全漏洞　第三方能輕易截取個資

香港政府一直以防疫理由，強制香港市民要利用「安心出行」軟件紀錄行蹤。過去已經有不少人質疑「安心出行」會收集使用者資料，但政府多次否認，近日再有消息指，政府將會實行心出行「紅黃碼」制度，變相成為實名制。美國港人組織 HKDC 提出研究要求，由美國獨立非營利組織「開放技術基金會」（Open Technology Fund）贊助，以及波蘭網絡安全公司「7ASecurity」及紅隊實驗室聯合展開測試，再次發現「安心出行」存在多個安全漏洞，能夠允許第三方非法取得用戶資料，包括個人資料。報告中更提到雖然曾向開發者提出問題，但未獲回應。

報告中指出，「安心出行」會將用家關於接種疫苗的資訊存放在手機的記憶卡中，令第三方只要取得記憶卡，無需密碼就可以取得用家資料，亦可以被其他有訪問記憶卡權限的應用程序讀取或修改。另一文面，報告亦發現「安心出行」無法正確驗證 TLS 證書，令用家即使被黑客攻擊亦不會獲得警告多例如透過公用網絡便可截獲用戶的系統登錄，獲取用戶的香港身份證ID和密碼等敏感資訊。

報告最後亦提到，「安心出行」的開發公司為 Cherrypicks，該公司的母公司為中國科技企業「網龍」，生意更涉及「一帶一路」等投資項目，亦被爆出與俄羅斯等國有人工智能上的合作，為中共的重要戰略夥伴。報告另外亦再次證實傳真社早前指「安心出行」軟件的代碼中還有一個未使用的人臉識別模組。

安心出行安全漏洞：

1. 通過無效的 TLS 證書作出沒有警告的中間人攻擊（嚴重）
2. 可通過 Android 系統的任務劫持進行網絡釣魚（中）
3. 在 Android 和 iOS 透過缺失的保安畫面進行洩密（低）
4. 通過不安全的 SD 卡使用來取得 COVID 狀態（高）
5. 利用邏輯漏洞繞過授權取得 COVID 狀態（高）
6. 在 iOS 鑰匙圈使用上出現弱點（中）
7. 通過缺失的數據保護取得 COVID 狀態（中）
8. 可透過 iOS 備份中洩露的 iOS Firebase 裝置令牌取得應用程式通知（低）

香港政府資訊科技總監辦公室過去多次強調程式「通過由獨立第三方進行的私隱影響評估和資訊保安風險評估及審計，確保符合《個人資料（私隱）條例》的規定」，雖然報告每次都指有少數中及低風險問題，但從未公開指出問題詳情。