港安心出行漏洞多 成中共大数据战略一部分

香港政府推出的“安心出行”软件被曝存在安全漏洞。该软件上的个人出行数据将被上传到香港健康码，而后者已经加入中国大陆的健康码系统。安心出行因此恐沦为中共大数据战略的一部分。

美国政府资助的“开放技术基金”今年7月聘请技术安全公司7ASecurity对“安心出行”进行安全审计发现，该软件存在8个安全漏洞、4个弱点。

一个严重漏洞是，安心出行无法正确验证TLS证书，这允许黑客在用户没有收到任何警告的情况下进行中间人攻击。恶意攻击者可以利用这个弱点来拦截流量，比如在用户登录香港健康码系统的时候进行拦截，以获得用户的香港身份证和密码，也可能获取个人一次性密码。

另一个严重漏洞是，该软件将信息储存在不安全的SD卡，可能泄露个人新冠病毒感染信息。例如，小偷可以取出SD卡并将其插入计算机以读取这些数据，而无需知道密码或解锁图案。

第三个严重漏洞是，外人可以轻易绕过密码和指纹要求，只需轻按屏幕，就可访问个人的新冠疫苗接种状态和测试结果。

安心出行的隐私保护功能也存在缺陷。比如在某些安卓设备上，该软件无法验证正确的TLS证书，导致在传输过程中疫情数据如香港健康码系统证书被泄露。

又比如，由于缺乏安全屏幕，个人新冠病毒感染状态通过屏幕截图被泄露。

令港人面临安全风险的“安心出行”，脱胎于大陆的健康码。

2020年11月，香港政府以防疫为由推出流动应用程式“安心出行”，要求市民在进入政府办公场所以及餐厅、戏院等公共场所时扫描二维码。当时，香港政府声称是自愿参与。