立場新聞 Stand News

餐飲等處所須申請「安心出行」 IT專家:程式可讀取修改 SD 卡 政府或可取敏感相片

2020/11/25 — 23:38

政府昨日公布新一輪防疫措施,其中要求餐飲及夜店、健身中心等 15 類表列處所必須在 12 月 3 日前申請「安心出行」QR Code,又指會視乎需要,日後或強制巿民進出這些場所必須使用「安心出行」。創新及科技局局長薛永恒曾在推出程式時強調市民是自願參與、自主作記錄。不少網民擔心政府改口,做法逐步推行全民監控,限制自由出入。電腦安全研究人員認為程式索取的權限不算多,但程式要求讀取、修改或刪除 SD 卡的內容,如果市民相片有敏感內容則「要好小心」,因為在程式權限下政府仍可取得照片。

雖然官方在推出應用程式時,強調程式不會上傳用戶資料,出行記錄不會備存到任何政府系統,並會在 31 天後自動刪除。但在程式推出後,被不少網民要求索取太多權限。現時在 Google Play 上,下載程式時會被要求「讀取、修改或刪除 USB 儲存裝置的內容」、「接收互聯網資料」、「擁有全面網絡存取權」、「擷取執行中的應用程式」等。

華爾基利信息安全研究組織電腦安全研究人員賴灼東指,「安心出行」要索取的權限算少,但他關注程式要求讀取、修改或刪除 SD 卡的內容。政府曾解釋做法是要將相機拍攝 QR Code 及的士車牌的相片後儲存在手機內,賴灼東反問「如何確保政府真的只有這個用途?」他認為政府的解釋的理由可理解,但如果市民相片有敏感內容則「要好小心」,因為在程式權限下政府仍可取得照片。

廣告

建議應拍下 QR Code 上傳到政府伺服器

他又比較 OpenRice 和 WeChat 兩個同樣會 scan QR Code 的應用程序,他指三者同樣有要求修改或刪除SD 卡的內容的權限。他認為若要改善「安心出行」的程式,較好的做法應是將拍下 QR Code 等相片上傳到政府伺服器,而不是要容許程式讀取手機內所有相片,這樣「起碼掂不到我手機的相」,「尤其在這敏感時間,市民會憂慮」。

廣告

香港資訊科技商會榮譽會長方保僑則同認為程序要索取的權限不是十分多,比較其他應用程式,Whatsapp 要求的權限更多。他認為 Apple 及 Google 合作推出藍牙追蹤傳播工具 Exposure Notification API,透過藍牙識別碼,只要有人確診就會通知當地衞生中心,不少國家都有使用,相對方便,問「點解政府唔用?」

政府資訊科技總監辦公室在程式推出後曾在 25 日發新聞稿,解釋稱取用相片及媒體是因為程序要用相機功能掃描 QR Code 及的士車牌,之後儲存在手機的儲存空間;掃描車牌運用雲端光學字元辨識,需要網絡存取、Wi-Fi連線、媒體及檔案相關權限;程式會定時下載衞生防護中心的確診者曾到訪的場所資料,與用戶出行記錄作比對,因此需要網絡存取、Wi-Fi連線、容許程式可以在背景執行及發出通知的相關權限;而程式亦會進行檢查,需要「retrieve running apps」 權限,以確定上一次下載資料的工作已完成及確保取得正確的數據版本。

政府今個月中推出「安心出行」應用程式,讓市民紀錄進出的場所及時間。創新及科技局局長薛永恒曾在推出程式時強調市民是自願參與、自主作記錄。有逾 6,000 個公私營場地參加計劃,同時程式可在全港逾 18,000 多輛的士直接使用。但他和特首林鄭月娥之後分別改口,不排除考慮強制要求市民使用「安心出行」應用程式。而在昨日的公布新一輪防疫措施的記者會上,食物及衞生局局長陳肇始表示,餐飲及表列處所,即遊戲機中心、桑拿浴室等設施,必須在 12 月 3 日前,向政府申請「安心出行」QR Code,收到後兩個工作天內,要在入口當眼處出示。而負責人違反規定,一經定罪,最高可被罰款 50,000 元及監禁六個月。

發表意見