(纳闻记者钱明宇报导)
独立审计显示,香港政府的 COVID-19 接触者追踪应用程序包含严重的安全风险,可能危及用户个人信息的隐私。
美国政府资助的开放技术基金于 7 月聘请了总部位于波兰的网络安全公司 7ASecurity 对“离开家安全”移动应用程序进行审计,发现该软件存在 8 个安全漏洞和 4 个弱点。
与中国大陆的彩色健康应用程序类似,Leave Home Safe 跟踪用户的运动,从而确定人们的暴露风险。
港版采用红、黄、蓝三色代码,内地采用红、黄、绿系统,蓝色和绿色分别表示风险最低。 只有拥有蓝色或绿色代码的人才能使用公共交通工具或进入公共场所。
安全漏洞
Open Technology Fund 于 7 月 24 日发布了一份 55 页的关于香港应用程序的报告 (pdf),其中指出发现了 12 个安全和隐私漏洞,其中三个被归类为严重或高级漏洞。
已识别的漏洞之一是应用程序无法正确验证证书,这使恶意攻击者可以拦截应用程序与其后端服务器之间的流量。
“例如,攻击者可以拦截登录香港健康码系统并获取用户的香港身份证ID和密码,”报告指出。
7ASecurity 还发现,当用户尝试从更安全的位置(例如 Google Drive)导入此类 QR 码时,Android 应用程序会将 COVID-19 疫苗接种和测试状态图像存储在移动设备的 SD 卡中。
“这一发现令人担忧,因为 Android SD 卡不适合存放敏感数据。 例如,一个不熟练的小偷可以提取 SD 卡并将其插入计算机以读取这些数据,而无需知道 PIN 或解锁模式,“报告说。
此外,由于逻辑缺陷,访问未锁定手机的恶意攻击者可以通过简单地点击屏幕并绕过 PIN 或指纹认证要求来获取用户 COVID-19 疫苗接种和 COVID-19 测试状态。
异见镇压
在中国大陆,曾发生多起公民与当局不和,被处以红色健康码,无法离家出走的事件。
在中国中部的河南省,一群银行客户抱怨说,他们在当地农村银行的存款自 4 月起就被冻结了。 当他们前往省会河南寻求赔偿损失时,省当局将他们的健康码变为红色,因此无法继续旅行,从而阻止他们会见官员或举行示威活动。
在另一起事件中,维权律师谢阳预订了 2021 年 11 月 6 日飞往上海的航班,去探望公民记者张展的母亲,张展因报道武汉封城期间的真实故事而入狱。 2020年初。
当地警察试图拦截他,但他不知何故设法到达了机场。 然而,在等待登机时,他的健康码突然变红,被防疫人员拦截。
当时,他的家乡长沙没有确诊病例,所以他的健康码是红色的没有正当理由。
“我重申,这段时间我从未离开过长沙! 这一切都是迫害,”谢在推特上披露自己的遭遇时写道。
北京的大数据野心
中国官方媒体毫不掩饰地承认,健康码应用背后是中国的大数据战略。
“健康码系统的快速上线,应该归功于大数据战略……大数据发展已经成为国家战略,”《中国新闻周刊》今年1月报道。
文章透露,2021年12月29日,中国国家发改委等部门发布通知,在京津冀、长江等8个重点区域启动大数据中心国家枢纽节点部署。三角洲、粤港、成渝、贵州、甘肃、内蒙古、宁夏。
“我们的战略竞争对手 [the Chinese Communist Part]) 将大数据视为战略资产,”美国国家安全顾问杰克沙利文去年夏天表示。 美国前副国家安全顾问马特·波廷格(Matt Pottinger)也写道,大数据是中共野心的核心。
华东江苏大数据交易中心副主任李克顺告诉《中国新闻周刊》,健康码其实有四层个人数据。 一是公安部门的户籍信息; 二是个人报告的健康数据,如体温、当前症状等; 第三是个人旅行数据,包括手机服务运营商提供的位置,以及铁路和空中交通旅行数据; 四是卫生和疾控部门提供的病史信息。
前特朗普政府官员马特·波廷格和大卫·费斯警告说,北京已经赢得了大数据战争。
在《纽约时报》的一篇观点文章中,波廷格和费思说:“在上一代人的时间里,北京在设计全球数据重商主义战略方面一直表现冷淡:为我囤积数据,为你放弃数据。 如果华盛顿及其盟友不组织强有力的回应,习近平将成功地登上未来全球力量的高峰。”
