世界盃App內置監控編碼 卡塔爾政府遙距存取用戶資料

卡塔爾世界盃即將開鑼,卡塔爾政府要求前往當地觀賞世界盃賽事之旅客,需要安裝兩個手機應用程式(App),惟網絡安全專家指出,兩個世界盃App可以存取用戶手機的所有內容,引起私隱安全憂慮。

卡塔爾政府早前宣布,所有前往當地觀賞世界盃賽事的旅客,必須安裝「Ehteraz」和「Hayya」App,前者用於追蹤新冠肺炎個案,後者則用作進入體育場和獲得免費的地鐵和公共汽車交通服務之用。

外媒《The Register》近日引述應用程式安全廠商Promon聯合創辦人Tom Lysemose指,Ehteraz App能安裝加密檔案,並儲存用戶ID、QR Code、感染狀態、配置參數及其他使用該App裝置的鄰近資料。

隨意存取、刪改用家手機內容

該App中的編碼,讓App可以獲得讀寫檔案系統權限,從而可以隨意讀存、刪改內容、覆寫用家手機內的所有內容、連結Wi-Fi或藍牙,甚至要求手機後台和定位服務長期處於開啟狀態,並防止手機轉成休眠模式。

另據挪威廣播公司NRK保安總監Øyvind Vasaasen指出,Hayya App亦如Ehteraz App般,可以在幾乎沒有任何限制的情況下,共享用家手機內的訊息、追蹤其位置,和防止設備進入休眠模式。

建議使用「鬼機」安裝

基於以上私隱安全疑慮,法國數據保護局(Commission Nationale Informatique et Liberté, CNIL)建議,民眾若要前往當地,可以多帶一部俗稱「鬼機」的拋棄式手機,以確保資料安全。德國數據保護機構BfDI亦表示,正在與德國外交部和德國聯邦訊息安全辦公室合作調查Etheraz和Hayya App。