【01實測】手機App可盜回鄉證相 香港新智能身份證最安全?

撰文:梁祖饒
出版:更新:

《香港01》上月揭發,內地居住證可被坊間讀卡器隔空讀取,卡主資料隨時落入不法之徒手中。記者再發現,回鄉證、雙程證及內地身份證有同一問題。
當中回鄉證及雙程證,只需於手機程式預先輸入護照號碼等資料,就可取得證件相及卡主全名;內地身份證資料憑讀卡器可一「嘟」任睇。至於香港新智能身份證,讀卡器及手機程式皆無法讀取。
資訊保安專家警告,證件相可用於偽造證件,甚至盜用身份申請網上支付服務,令卡主蒙受金錢損失。

香港新智能身份證換領計劃已展開近一個月,新身份證更首次引入RFID技術。(資料圖片/洪嘉徽攝)

四款內地簽發證件 資料可憑非官方途徑讀取

《香港01》上月測試,有坊間讀卡器可輕易讀取內地居住證上全名、證件號碼及地址等個人資料,更可將資料即時下載,逾十萬名持證的港澳台居民,陷入私隱危機而不自知。台灣、內地及香港傳媒均有跟進報道事件。

記者本月再以該部從深圳華強北購買的讀卡器,以及具備NFC(近距離無線通訊)功能手機的一款應用程式,測試內地身份證、回鄉證及雙程證三款同樣由內地簽發的證件,結果發現三者均出現問題。

回鄉證在手機程式測試中,只需輸入證件號碼、出生日期及證件有效期,便可獲取持卡人全名及其個人相片。(張浩維攝)

回鄉證及雙程證 手機App可取證件相

回鄉證及雙程證在手機程式測試中,記者只需預先輸入證件號碼、卡主的出生日期及證件的有效期,便能輕易獲取持卡人的全名及其證件相。

但在讀卡器測試中,回鄉證及雙程證均未被讀取任何資料。當中回鄉證放上讀卡器時,介面顯示「找到卡,正在讀卡」的字眼,不久轉為「讀卡失敗」。

內地身份證的個人資料在讀卡器上一覽無遺,證件隔空五至六厘米仍可讀取,更可設定即時列印卡上資料。(張浩維攝)

內地身份證 資料一「嘟」可列印

相反,記者嘗試以手機程式讀取內地身份證時,只顯示出一堆無意義的字符。不過證件上的個人資料包括姓名、住址及證件號碼,在讀卡器下卻一覽無遺,縱使隔空五至六厘米仍能讀取。讀卡器更可設定即時列印資料,與內地居住證被讀取的情況無異。

五款香港及內地證件私隱安全測試一覽表:

簽發地 證件 讀卡機 手機應用程式
香港入境處 新智能身份證 X(無反應) X(亂碼)
內地當局 回鄉證 X(找到卡但讀卡失敗) O
雙程證 X(無反應) O
內地身份證 O X(亂碼)
內地居住證 O X(亂碼)

資料來源:香港01實測結果

港新身份證 讀卡機及手機App均無法讀取

四款可被讀卡器或手機程式讀取的內地證件,均由內地當局簽發。其中回鄉證及雙程證由中國公安部出入境管理局簽發,而內地身份證則由中國各市公安局簽發;至於內地居住證,則由縣級人民政府公安機關簽發。

至於由香港入境事務處簽發的新智能身份證,換領計劃已展開近一個月,新證首次引入無線射頻辨識(RFID)技術,可經非接觸方式讀取資料,屢被指不安全。不過測試結果顯示,新智能身份證憑讀卡器無法讀取,經手機程式亦只讀取到亂碼。

記者實測顯示,香港的新智能身份證放在讀卡器上無反應,而NFC手機的應用程式亦讀取到一串亂碼。(張浩維攝)
+3

資訊保安專家:證件相可被用作偽造假證

香港資訊科技商會榮譽會長方保僑解釋,在手機程式輸入證件號碼等資料,等如解開證件表面資料的加密鎖,故能讀取有關資料,他指由於RFID技術以便於輸入資料為主,處理一般簡易登記手續,因此資料在某程度上並非嚴密保護。

香港資訊科技商會資訊保安召集人范健文則警告,坊間讀卡器能讀取證件,反映資料有遭盜用的風險,而證件相可用作偽造假證及申請網上支付平台等服務,不法之徒可能使用賬戶作非法用途,籲當局研究加強證件保安,市民亦應提高警覺。

方保僑表示,在手機程式輸入證件號碼及出生日期等資料,便如解開卡上表面資料加密鑰匙的鎖,故卡上表面其他資料可被讀取。(資料圖片/高仲明攝)