獨家|MySJ Trace開藍牙沒隱私了?專家:駭客拿到UUID也沒用
(八打靈再也3日訊)資深網絡安全顧問表示,疫情期間,不少國家早已使用藍牙追蹤技術進行密切接觸者追蹤,而政府收集的主要是用戶的通用唯一識別碼(UUID),民眾不必擔心位置被讀取、移動路線被記錄或個資外洩等問題。
MySejahtera手機應用程式在一週前增設了MySJ追蹤(MySJ Trace)功能,由於衛生部建議使用者在公共場所開啟藍牙,導致部分民眾擔心移動路線也會被記錄,或隱私被侵犯的顧慮。
ADVERTISEMENT
對此,網絡安全服務公司LGMS創辦人馮宗福接受《星洲日報》電訪時指出,藍牙追蹤並非新的技術,這項技術其實在外國早已採用,包括鄰國新加坡在疫情初期便開始用以追蹤密接者。
他說,藍牙追蹤的作用是當使用者都開啟藍牙,距離很靠近時,手機會互相將對方的UUID記錄下來。
他說,衛生部此前要追蹤密接者時,是根據民眾的check in記錄,但如果出現確診病例的場所場地較大,追蹤範圍也變得更廣,無法細分有感染風險的群體。
“有了MySJ Trace這個功能,當每個人都開啟使用,假設4個人身處同一個空間,彼此的應用程式都會儲存對方的UUID,然後同一時候把時間也儲存。
“這樣一來,萬一其中一人之後確診,政府便可以通過這些資料來查出確診者之前曾接觸過的人。
“因為我們的手機已經互相交換了UUID,所以衛生部就可以知道哪些人具感染風險。”
他表示,政府提到當局所收集的數據會在用戶設備中不會保留超過14天,這樣的做法能非常有效地追蹤確診者近期接觸過的人士。
他認為,如果民眾若仍有抱持疑慮,可在公共場合開啟藍牙,非公共場合則可暫時關閉。
他進一步解釋,民眾也無需擔心個資洩漏的問題,因為衛生部收集的UUID和接收信號的強度(RSSI)是需要在透過政府的數據庫才可以查出對應的電話號碼、名字和地址。
“如果駭客收集到UUID,對他們而言是沒有任何意義的,他們並不能從UUID查出背後的擁有人是誰。
“UUID是一組數字,需要根據數字才能找到應用程式的使用者是誰,這項資料只有政府擁有。”
另外,有民眾擔心長時間使用這項功能,本身的移動路線也會被這項功能記錄下來,馮宗福指出,根據政府的說法,開啟藍牙主要是要交換訊息,過程中不會讀取我們的GPS位置。
“如果是蘋果手機,MySJ Trace確實沒有讀取GPS位置,因為它沒有要求位置(location)權限;安卓(Android)要開啟藍牙時有要求位置權限,但政府說這功能不會讀取位置,所以人們也不必擔心政府知道所有的行蹤。”
他認為,民眾因為不瞭解藍牙追蹤的實際操作,所以才會產生疑慮,因此他也建議政府可透過資訊圖向民眾解釋和說明,好讓更多人使用這項功能。
ADVERTISEMENT
热门新闻
百格视频
ADVERTISEMENT
