作者: chue 時間: 2022-7-29 09:52 標題: 安心出行疑存安全漏洞 資科辦聲明:不公不實指控
【本報訊】本港的「安心出行」程式遭波蘭一間網絡安全公司周三(27日)發表報告指存在重大漏洞,當中包括允許應用程式及其後台伺服器被攔截、避開驗證系統獲取新冠疫苗接種和檢測資料、通過儲存卡獲取相關圖像等。港府資訊科技總監辦公室昨午發表聲明,斥責有關報告不實及屬不公道指控,對此表示遺憾,強調「安心出行」程式從沒有出現任何保安或私隱相關事故。
波蘭網絡公司發現8弱點
上述網絡安全公司的報告長55頁,由7ASecurity網絡安全公司和美國非牟利組織「開放科技基金」(Open Technology Fund)聯合展開測試後公布,提及有關安心出行的12個發現。當中8個發現被列為保安弱點,其中3個估計嚴重程度高,另外4個則屬普通弱點,較少風險遭到利用。
報告指審核者認定,此應用程式沒有事先經過任何有能力的網絡安全公司展開專業審核。他們在一個多月前已與開發者分享上述發現,詢問這些問題是否已解決,以及開發者此前為何未識別這些問題,但仍未收到答覆。
資科辦發言人斥上述報告不盡不實,認為是不公道的指控,對此表示遺憾及堅決反對。資科辦表示,安心出行是港府協助防疫抗疫的數碼工具,其設計、開發及使用一直以保障個人私隱為大前提,程式毋須登記,儲存所有與個人私隱相關的資料均經遮蓋及加密處理。程式推出一年多以來,已有超過800萬個下載,從沒有出現任何保安或私隱相關事故。
此外,資科辦早於今年5月就有關人臉識別模組的指控多次解說,重申安心出行毋須亦從來沒有使用人臉識別的功能,相關人臉識別模組亦早已按承諾移除。而每次在安心出行流動應用程式加入新功能時,該辦公室亦徵詢個人資料私隱專員公署的意見,確保符合《個人資料(私隱)條例》的規定。
原文網址:安心出行疑存安全漏洞 資科辦聲明:不公不實指控 | 東方日報 | 要聞港聞 https://orientaldaily.on.cc/cont ... 729-0729_00176_025/
作者: VV 時間: 2022-7-29 11:33
其實有既咪bug fix 囉...冇既呢期冇都當有架啦...
作者: tunster 時間: 2022-7-29 11:35
POC 都出埋都不實? 哦
作者: allen05073003 時間: 2022-7-29 19:05
其實有既咪bug fix 囉...冇既呢期冇都當有架啦...
VV 發表於 2022-7-29 11:33
Feature 唔係 bug黎
via HKEPC Reader for Android
作者: Dcup 時間: 2022-7-30 18:04
其實有既咪bug fix 囉...冇既呢期冇都當有架啦...
VV 發表於 2022-7-29 11:33
人地話無,唔係認有去fix
作者: 狂蜂一號 時間: 2022-8-1 02:28
好似未聽過有人會否認,是嗎?
作者: alanh999 時間: 2022-8-1 07:39
回覆 2# VV
Those are probably hidden functions instead of bugs.
作者: Q-Q 時間: 2022-8-1 08:54
提示: 作者被禁止或刪除 內容自動屏蔽
作者: holyAS 時間: 2022-8-1 09:39
已外洩資料沒有外洩
作者: usei 時間: 2022-8-1 10:39
M$ 會比獎金幫手搵安全漏洞的人
作者: alanh999 時間: 2022-8-1 12:43
M$ 會比獎金幫手搵安全漏洞的人
usei 發表於 2022-8-1 10:39
However, Beijing-controlled Hong Kong Government is not Microsoft.
作者: 一隻人 時間: 2022-8-1 13:03
M$ 會比獎金幫手搵安全漏洞的人
usei 發表於 2022-8-1 10:39
科技界對漏洞和弱點要分開來理解吧?
正常情況下要達到正常操作下不會有的操作才會有暴露風險
既然政府看過報告都出來解話話無
那就當無吧
作者: alanh999 時間: 2022-8-1 14:12
科技界對漏洞和弱點要分開來理解吧?
正常情況下要達到正常操作下不會有的操作才會有暴露風險
既然政府看 ...
一隻人 發表於 2022-8-1 13:03
So those "漏洞" are actually backdoors?
作者: IanW 時間: 2022-8-1 15:07
其實資科辦有無對應返份報告的各點提出解釋?
作者: zetalai 時間: 2022-8-1 15:19
其實資科辦有無對應返份報告的各點提出解釋?
IanW 發表於 2022-8-1 15:07
反對反對同強烈反對囉
作者: bsheung 時間: 2022-8-1 16:40
提示: 作者被禁止或刪除 內容自動屏蔽
作者: alanh999 時間: 2022-8-1 21:22
其實資科辦有無對應返份報告的各點提出解釋?
IanW 發表於 2022-8-1 15:07
Do you think if Beijing cares?
作者: Kavin 時間: 2022-8-1 21:44
佢話無問題
作者: rabbit82047 時間: 2022-8-1 22:48
啱啱 download 左份 report 黎睇,一個 crit, 兩個 high
critical 果隻有d非戰之罪,但唔係唔可以 fix
high 果兩隻基本屬於設計失誤,但只可以話係程式設計時考慮不周
好普通既一份 security assessment, 無咩好上綱上線
不過直接走出黎話不實,似乎處理又唔夠嚴謹,但亦都只係到此為止
作者: alanh999 時間: 2022-8-2 06:27
啱啱 download 左份 report 黎睇,一個 crit, 兩個 high
critical 果隻有d非戰之罪,但唔係唔可以 fix
hig ...
rabbit82047 發表於 2022-8-1 22:48
"到此為止" > "There are serious flaws in the app but we don't care."
作者: rabbit82047 時間: 2022-8-2 09:52
回覆 20# alanh999
不如你又根據個 report 指出有幾 serious
Access 到部機再可以 set 埋 proxy 先 exploit 到個 critical flaw
我攞到部機又 unlock 到,其實真係咩都做得,唔會只係安心出行單一個 app 有問題
平心而論呢個已經超出 app 可以控制既範圍,android system fix 會比較好
只不過做得好d就係 app 都 check 一次 個 proxy 係未有問題咁解
講真份 report 55 個 pages 我又真係無睇哂其他 medium/low, 仲有果d標明係 unproven 既問題
或者真係有d好嚴重既漏洞,咁就睇你報告啦
作者: alanh999 時間: 2022-8-2 21:27
回覆 alanh999
不如你又根據個 report 指出有幾 serious
Access 到部機再可以 set 埋 proxy 先 exploi ...
rabbit82047 發表於 2022-8-2 09:52
https://7asecurity.com/reports/pentest-report-leavehomesafe.pdf
You really should read the full report.
Page 5 - "It was found that the latest LeaveHomeSafe Android app at the time of writing (3.2.3)
fails to validate TLS certificates correctly, which allows MitM attacks without any user
warnings. "
Such warning had been implemented in all modern browsers since years ago while an app developed in 2021 lacks this basic security feature.
作者: 沙盒A 時間: 2022-8-2 23:59
科技界對漏洞和弱點要分開來理解吧?
正常情況下要達到正常操作下不會有的操作才會有暴露風險
既然政府看 ...
一隻人 發表於 2022-8-1 13:03
作者: rabbit82047 時間: 2022-8-4 08:36
回覆 22# alanh999
總算睇左,係唔係一般既 security assessment report,就交俾你判斷啦
作者: EVANGELION 時間: 2022-8-4 09:51
GOOGLE 會唔會將佢下架
bsheung 發表於 2022-8-1 16:40
已經裝左既話下架都無用,最多之後無得update...但有得去安心上路個網download個apk黎裝..
作者: dptinker 時間: 2022-8-4 10:19
本帖最後由 dptinker 於 2022-8-4 10:25 編輯
回覆 alanh999
不如你又根據個 report 指出有幾 serious
Access 到部機再可以 set 埋 proxy 先 exploi ...
rabbit82047 發表於 2022-8-2 09:52
set proxy 黎exploit 只係一個demo
佢係想話比你聽, 如果你connect左去一個有問題既network, 或者有用人某D方法intercept到你既connection,
就會因為個安心app 做cert verification 做得唔好, 而令有心人偷到安心app傳送既資料 (所謂既man-in-the-middle attack)
正常而言, 如果個app係要傳送sensitive information,
establish connection 時就一定要verify server張cert 係咪完全valid,
如果整張假cert黎扮可以騙到個app,
咁個app 點都要fix吧
比較好笑既係後面有個high risk
係話安心app 可以開啟認證功能(例如PIN/指模)先可以睇到儲喺app 入面既針卡資料,
但經測試後, 只要直接去設定關閉個認證功能,就可以繞過個認證睇到D資料,
而關閉呢個動作完全唔駛認證.
測試認為,呢個完全係程式既設計邏輯有問題,
因為一個認證功能只需要在程式裡按幾下就能關掉,
簡單D講, 就係設計認證功能既人冇用腦
作者: buzz_ 時間: 2022-8-4 11:49
其實無做cert pinning咪話會做返囉,硬係要死撐。
作者: alanh999 時間: 2022-8-4 17:28
其實無做cert pinning咪話會做返囉,硬係要死撐。
buzz_ 發表於 2022-8-4 11:49
The HK government is always right, so whoever points out any problem is considered a problem.
作者: alanh999 時間: 2022-8-4 17:29
回覆 alanh999
總算睇左,係唔係一般既 security assessment report,就交俾你判斷啦 ...
rabbit82047 發表於 2022-8-4 08:36
How do you define "一般" and not "一般"?
作者: 一隻人 時間: 2022-8-5 10:30
所以問題就是為什麼會出現訊息差了
Android 6是7年前出的產物了
到底是都出BUG還是只是歷史問題BUG
假如只是ANDROID版本問題倒還好
始終現在程序大多數的功能實現是靠調用公用庫來實現功能的
公用庫的BUG有時還真非戰之罪
期望他能用一台較正常型號的機型做測試吧
作者: postmaster 時間: 2022-8-5 17:23
本帖最後由 postmaster 於 2022-8-5 17:25 編輯
公用庫 重点到
V1時我都有輕度八八掛掛爆開個apk望吓. 一望 
, 嘩! 間公司收咗幾多錢寫呢作者: Dcup 時間: 2022-8-6 10:10
set proxy 黎exploit 只係一個demo
佢係想話比你聽, 如果你connect左去一個有問題既network, 或者有用人 ...
dptinker 發表於 2022-8-4 10:19
裝個幾皮門鎖很安全,跟住道門可以街外人甩兩個勾就拆到
作者: alanh999 時間: 2022-8-6 17:54
所以問題就是為什麼會出現訊息差了
Android 6是7年前出的產物了
到底是都出BUG還是只是歷史問題BUG
假如只 ...
一隻人 發表於 2022-8-5 10:30
Spinning the problem away from the app.