独家|MySJ Trace开蓝牙没隐私了?专家:骇客拿到UUID也没用
(八打灵再也3日讯)资深网络安全顾问表示,疫情期间,不少国家早已使用蓝牙追踪技术进行密切接触者追踪,而政府收集的主要是用户的通用唯一识别码(UUID),民众不必担心位置被读取、移动路线被记录或个资外泄等问题。
MySejahtera手机应用程式在一周前增设了MySJ追踪(MySJ Trace)功能,由于卫生部建议使用者在公共场所开启蓝牙,导致部分民众担心移动路线也会被记录,或隐私被侵犯的顾虑。
ADVERTISEMENT
对此,网络安全服务公司LGMS创办人冯宗福接受《星洲日报》电访时指出,蓝牙追踪并非新的技术,这项技术其实在外国早已采用,包括邻国新加坡在疫情初期便开始用以追踪密接者。
他说,蓝牙追踪的作用是当使用者都开启蓝牙,距离很靠近时,手机会互相将对方的UUID记录下来。
他说,卫生部此前要追踪密接者时,是根据民众的check in记录,但如果出现确诊病例的场所场地较大,追踪范围也变得更广,无法细分有感染风险的群体。
“有了MySJ Trace这个功能,当每个人都开启使用,假设4个人身处同一个空间,彼此的应用程式都会储存对方的UUID,然后同一时候把时间也储存。
“这样一来,万一其中一人之后确诊,政府便可以通过这些资料来查出确诊者之前曾接触过的人。
“因为我们的手机已经互相交换了UUID,所以卫生部就可以知道哪些人具感染风险。”
他表示,政府提到当局所收集的数据会在用户设备中不会保留超过14天,这样的做法能非常有效地追踪确诊者近期接触过的人士。
他认为,如果民众若仍有抱持疑虑,可在公共场合开启蓝牙,非公共场合则可暂时关闭。
他进一步解释,民众也无需担心个资泄漏的问题,因为卫生部收集的UUID和接收信号的强度(RSSI)是需要在透过政府的数据库才可以查出对应的电话号码、名字和地址。
“如果骇客收集到UUID,对他们而言是没有任何意义的,他们并不能从UUID查出背后的拥有人是谁。
“UUID是一组数字,需要根据数字才能找到应用程式的使用者是谁,这项资料只有政府拥有。”
另外,有民众担心长时间使用这项功能,本身的移动路线也会被这项功能记录下来,冯宗福指出,根据政府的说法,开启蓝牙主要是要交换讯息,过程中不会读取我们的GPS位置。
“如果是苹果手机,MySJ Trace确实没有读取GPS位置,因为它没有要求位置(location)权限;安卓(Android)要开启蓝牙时有要求位置权限,但政府说这功能不会读取位置,所以人们也不必担心政府知道所有的行踪。”
他认为,民众因为不了解蓝牙追踪的实际操作,所以才会产生疑虑,因此他也建议政府可透过资讯图向民众解释和说明,好让更多人使用这项功能。
ADVERTISEMENT
热门新闻
百格视频
ADVERTISEMENT
