香港政府開發的健康碼程式《安心出行》今日正式在 Apple App Store 、 Google Play 和 HUAWAI 應用程式市場推出,市民可以透過這個程式了解自己有沒有到訪過出現過確診者的地方以至的士,以便及早求醫。不過大家在關心健康之餘,也同時關心程式會否帶來私隱風險。
用戶只要使用《安心出行》程式的鏡頭來掃描全港超過 10,000 個處所的二維碼和的士的車牌,在手機程式裡紀錄自己的行踪。程式掃描後會紀錄進入地方的時間,並且即使你關閉程式,程式仍會持續計時,直至用戶按下「離開」掣時,才會終止。
程式會與每日更新的確診資料作比對。如果程式發現用戶曾經到過確診者曾去過的地方,就會發出通知,提示用戶去做檢測。政府方面多番強調這個程式很著重私隱,不會紀錄用戶個人資料,也不會主動將非確診用戶行踪上傳到伺服器,資料也經過加密,連用戶自己也沒法查看,並且會在 31 日後自動刪除。
而確診用戶就需要在程式裡輸入由衛生防護中心提供的一次性密碼,來上載自己的行踪以協助流行病學調查。
即使如此,市民還是很在意程式所要求的權限。《安心出行》手機程式並非採用由 Apple 和 Google 合作開發的 COVID-19 暴露通知 API ,而是獨自開發一套系統。以現在時發佈的 Android 版 1.0.4 版本為例,程式要求使用相機拍照、存取儲存空間內容、連線上網、啟動時執行和擷取執行中程式等,連擷取位置的權限也沒有要求。但在網頁版的 Google Play 上,就會看到這應用程式所有版本所要求的權限:
裝置和應用程式記錄
retrieve running apps
相片/媒體/檔案
read the contents of your USB storage
modify or delete the contents of your USB storage
儲存空間
read the contents of your USB storage
modify or delete the contents of your USB storage
相機
take pictures and videos
Wi-Fi 連線資料
view Wi-Fi connections
其他
receive data from Internet
view network connections
allow Wi-Fi Multicast reception
full network access
run at startup
control vibration
prevent device from sleeping
Google Play license check
網民最關心的是為甚麼這個程式要求「擷取執行中程式( retrieve running apps )」的權限。據一個程式開發專門論壇上的回應指出,這個權限不會容許程式存取其他程式的內容,所以本身並不危險,不過對於試圖竊取數據的人來說,這是一個有用的工具,可幫助駭客決定進一步入侵的策略。需要這種權限的合法應用程式包括清除程式任務和電池履歷小工具,而其他程式大多數都不需要這個權限。