【HKDC牽頭 向國際社會揭露安心出行三大漏洞】
發表於 : 週四 7月 28, 2022 7:59 pm
【HKDC牽頭 向國際社會揭露安心出行三大漏洞】
面對中共數位威權在全球的擴張,香港自然也會成為重要的拉鋸戰場。過去數年,港共政權已經不斷提出要用嶄新科技例如人工智能,建設他們口中所說的智慧城市。可惜的是,這些政策往往未見其利先見其弊。過去政府推出的智慧燈柱淪為監控燈柱丶智慧監獄變成新疆式監獄,這些政策只是反映了政權希望進一步利用科技來控制人民的野心。 尤其疫情期間,不少獨裁政權往往都用控制疫情為由,使用各種科技手段,收集數據並監控市民的一舉一動。
日前,傳真社拆解Android版本的安心出行手機應用程式,發現程式內置人臉識別模組,具有包括識別臉部五官特徵和位置的功能。就算鐵證如山,香港政府仍然支吾以對,否認政府有任何惡意意圖。HKDC並不善罷甘休,決定攜手Open Technology Fund及世界級的網絡科技安全公司再作進一步調查。果然,經過三個月的研究,我們再揭發了安心出行的數大漏洞。受我們委托的網絡安全公司,除了在一次確實了在Android版本安心出行含有人面識別的模組,今次報告內容亦都找到其他不少漏洞,以下為一些重點:
1. 資料竟存手機SD卡 第三方可輕鬆偷取用戶資料
在拆解安心出行後,報告發現在 Android 版本的應用程序中,軟件會將 COVID 疫苗接種和 COVID 測試狀態圖像存儲在 SD 卡中,但Android SD 卡並不適合存放敏感數據。
第三者只要獲得用戶手機,便可以在不需要輸入密碼的情況下,取出 SD 卡並將其插入資料存取機以讀取用戶數據。存儲在該SD 卡中的內容都可以被手機上其他同樣具有 SD 卡訪問權限的應用程序讀取或修改,大大影響了用戶的資安問題。
2. 無法正確驗證TLS證書 駭客可截獲用戶身份證及密碼
報告更發現在「安心出行」應用程序 (3.2.3) 中竟然無法正確驗證 TLS 證書。這允許駭客在沒有任何用戶警告的情況下進行中間人攻擊(MITM)。在一些情況下,第三方攻擊者可以透過操縱網絡通訊(如沒有訪客隔離的公共 Wi-Fi),攻擊大眾,攔截「安心出行」與其後端服務器平台之間的數據。例如,駭客可以輕鬆截獲用戶的系統登錄,獲取用戶的香港身份證ID和密碼等敏感資訊。
另外,我們報告亦都發現安心出行的iOS 版本當中,並沒有啟動iOS 的數據保護功能。這意味著大多數文件都只是使用默認加密,僅保持設備鎖定時內存中的解密密鑰。這是iOS上最不安全的數據保護形式。只要第三方的惡意攻擊者可以獲得用戶的手機,便可以利用這個弱點從內存中讀取解密密鑰,令到第三方無需解鎖設備,即可取讀本地應用數據文件。
3. 母公司為中共「一帶一路」科技巨頭「網龍」 在俄羅斯推動「智慧城市」 以AI 在非洲推動「智慧教育」
另外,雖然香港不少業界人士都知道安心出行的設計者為Cherrypicks,但社會大眾仍然未廣泛得知其母公司是中國科技巨頭「網龍」,並涉及中共「一帶一路」許多重要的投資項目,被視為中共的戰略夥伴。這間企業過去使用人工智能在數字教育領域,與俄羅斯、塞爾維亞、埃及、尼日利亞、肯尼亞、加納等「一帶一路」沿線威權國家建立深度合作,幫助中共向全世界輸出數碼威權。
一如過去眾多的研究及評論指出,中國科技公司所鑽研的科技通常含有巨大的資訊安全漏洞,其軟件亦都經常含有backdoor可以供服務供應商竊取用戶資料。而且,安心出行這種涉及重大公眾利益的軟件,按照正常程序也應該透過政府公開招標來釋除大眾疑惑。可惜,香港政府在未來只會增加使用中共研發的科技,黑箱作業跟這些公司合作,一來取悅政權,二來令到香港市民及整個城市進一步陷入中共大數據的監控當中。
報告連結:https://l.facebook.com/l.php?u=https%3A ... xKFidmGkaw
面對中共數位威權在全球的擴張,香港自然也會成為重要的拉鋸戰場。過去數年,港共政權已經不斷提出要用嶄新科技例如人工智能,建設他們口中所說的智慧城市。可惜的是,這些政策往往未見其利先見其弊。過去政府推出的智慧燈柱淪為監控燈柱丶智慧監獄變成新疆式監獄,這些政策只是反映了政權希望進一步利用科技來控制人民的野心。 尤其疫情期間,不少獨裁政權往往都用控制疫情為由,使用各種科技手段,收集數據並監控市民的一舉一動。
日前,傳真社拆解Android版本的安心出行手機應用程式,發現程式內置人臉識別模組,具有包括識別臉部五官特徵和位置的功能。就算鐵證如山,香港政府仍然支吾以對,否認政府有任何惡意意圖。HKDC並不善罷甘休,決定攜手Open Technology Fund及世界級的網絡科技安全公司再作進一步調查。果然,經過三個月的研究,我們再揭發了安心出行的數大漏洞。受我們委托的網絡安全公司,除了在一次確實了在Android版本安心出行含有人面識別的模組,今次報告內容亦都找到其他不少漏洞,以下為一些重點:
1. 資料竟存手機SD卡 第三方可輕鬆偷取用戶資料
在拆解安心出行後,報告發現在 Android 版本的應用程序中,軟件會將 COVID 疫苗接種和 COVID 測試狀態圖像存儲在 SD 卡中,但Android SD 卡並不適合存放敏感數據。
第三者只要獲得用戶手機,便可以在不需要輸入密碼的情況下,取出 SD 卡並將其插入資料存取機以讀取用戶數據。存儲在該SD 卡中的內容都可以被手機上其他同樣具有 SD 卡訪問權限的應用程序讀取或修改,大大影響了用戶的資安問題。
2. 無法正確驗證TLS證書 駭客可截獲用戶身份證及密碼
報告更發現在「安心出行」應用程序 (3.2.3) 中竟然無法正確驗證 TLS 證書。這允許駭客在沒有任何用戶警告的情況下進行中間人攻擊(MITM)。在一些情況下,第三方攻擊者可以透過操縱網絡通訊(如沒有訪客隔離的公共 Wi-Fi),攻擊大眾,攔截「安心出行」與其後端服務器平台之間的數據。例如,駭客可以輕鬆截獲用戶的系統登錄,獲取用戶的香港身份證ID和密碼等敏感資訊。
另外,我們報告亦都發現安心出行的iOS 版本當中,並沒有啟動iOS 的數據保護功能。這意味著大多數文件都只是使用默認加密,僅保持設備鎖定時內存中的解密密鑰。這是iOS上最不安全的數據保護形式。只要第三方的惡意攻擊者可以獲得用戶的手機,便可以利用這個弱點從內存中讀取解密密鑰,令到第三方無需解鎖設備,即可取讀本地應用數據文件。
3. 母公司為中共「一帶一路」科技巨頭「網龍」 在俄羅斯推動「智慧城市」 以AI 在非洲推動「智慧教育」
另外,雖然香港不少業界人士都知道安心出行的設計者為Cherrypicks,但社會大眾仍然未廣泛得知其母公司是中國科技巨頭「網龍」,並涉及中共「一帶一路」許多重要的投資項目,被視為中共的戰略夥伴。這間企業過去使用人工智能在數字教育領域,與俄羅斯、塞爾維亞、埃及、尼日利亞、肯尼亞、加納等「一帶一路」沿線威權國家建立深度合作,幫助中共向全世界輸出數碼威權。
一如過去眾多的研究及評論指出,中國科技公司所鑽研的科技通常含有巨大的資訊安全漏洞,其軟件亦都經常含有backdoor可以供服務供應商竊取用戶資料。而且,安心出行這種涉及重大公眾利益的軟件,按照正常程序也應該透過政府公開招標來釋除大眾疑惑。可惜,香港政府在未來只會增加使用中共研發的科技,黑箱作業跟這些公司合作,一來取悅政權,二來令到香港市民及整個城市進一步陷入中共大數據的監控當中。
報告連結:https://l.facebook.com/l.php?u=https%3A ... xKFidmGkaw
- 296261517_196889606023371_7583530337102471678_n.jpeg (419.13 KiB) 已瀏覽 556 次
- 295745410_196889516023380_5709659012301699314_n.jpeg (103.5 KiB) 已瀏覽 556 次
- 295979992_196889466023385_2663741676445795890_n.jpeg (104.38 KiB) 已瀏覽 556 次
- 296243616_196889502690048_6862750853249870584_n.jpeg (94.87 KiB) 已瀏覽 556 次