免责声明不是避风港!APP升级堵漏洞
作者: 来源: 2021-08-07 23:00:20
可模拟多地健康码、复工码、通行码;能自定义地区、城市、姓名;随意设置绿码、黄码、红码……在国内新冠肺炎疫情防控形势再次趋于严峻之时,一款“健康码演示”APP近日被网友曝光。 1月13日,杭州市人民政府新闻办公室官方微博发布通告称,该软件开发者系41岁的解某某,目前已被采取刑事强制措施。 这种软件在国内的应用商店或网站平台很难上架。国家网信办、工信部等对此都有相关法规,规定了平台责任,也就是说平台上涉嫌违法或者传播不良信息的软件,都要及时删除,平台有这个义务。 在公安部门介入调查后,该软件随即下架。但该软件引发的公众担忧和讨论并未结束,有网友担心其可能被非法使用:这种软件上架,会不会出现假的健康码? 那么,法律层面对编写发布健康码演示软件的行为是如何规定的?如果有人用了这款软件属于什么行为?健康码验证环节能否增加技术手段进行应对?为此,科技日报记者走访了计算技术和法律方面的有关专家。 健康码演示软件现身应用市场 1月11日,微博博主@路诞先生发布消息称,在谷歌Play应用软件商店中,一款名为“健康码演示”的软件能够根据个人所需随意显示各地健康码。 这一APP可谓神通广大,能够模拟各地健康码、复工码、通行码,还能根据需要展示不同健康码,比如绿码、黄码、红码等状态,并可自定义输入并显示相关数据,比如地区、城市、姓名等。 可以说,要什么码有什么码,要什么名有什么名。 值得深思的是,该APP在详情页面还标注了“注意事项”,称该应用仅作为演示目的,二维码并非实际健康码、复工码,请勿用于被扫码的场合,以免引起不必要的误会。 由于被多人举报,该软件已被下架,但是下载量已超过1000次。谷歌Play应用软件商店主要面向国外用户,在输入性疫情不断增多的严峻态势下,一旦被入境人员用于国内通行,极易引发疫情传播。 杭州公安机关得知后,迅速介入此事。然而,网友很快就发现,该软件上的公司名称和地址都是假的。软件登记地址是一个杭州市私人住所,并非办公场地,而软件显示的“派派科技”公司也查不到相关信息。 “据我们了解,该软件作者曾把代码上传到一个面向开源及私有软件项目的托管平台GitHub公开分享,但目前已经删除。”南京信息工程大学计算机与软件学院教师闰雷鸣告诉记者,开发这种软件并不困难,一个学过计算机软件开发的大学本科生就能完成。 据闰雷鸣介绍,开发者应该是收集了全国各地的健康码样式,用二维码生成技术模拟各地健康码,同时通过自定义选项,设置各种个人信息和区域信息。 “在谷歌Play应用软件商店上传APP,首先需要注册,公司和个人均可,并缴纳20多美元的注册费,就可发布软件,谷歌公司也会对软件进行审核。”闰雷鸣说。 扰乱社会治安,免责声明不是避风港 1月12日,解某某被杭州市公安局西湖区分局立案侦查。 据浙江省杭州市西湖区人民检察院微信公众号1月17日消息,该院已派检察官依法提前介入该案。目前,案件正在进一步办理中。 解某某究竟出于什么目的开发这款软件目前尚不可知,但是他显然知道自己的行为有可能触及法律红线。 从一个细节可以看出:他不仅使用虚假的公司名称和地址信息,还自欺欺人地标注“注意事项”,企图为自己免责。 “这句声明是没有用的,法律不看他怎么说,而是看他做了什么。”南京大学法学院教授单勇认为,解某某的行为扰乱了疫情防控措施和社会秩序,因此杭州官方发布的消息称之为“涉疫网络违法案件”。 单勇说,健康码事关疫情防控成效和社会秩序稳定,从这个角度来看,《传染病防治法》《治安管理处罚法》的相关规定都适用该案件。但是,也不排除通过公安机关的侦查,发现其行为涉嫌触犯刑法。 从性质上看,“提供伪造健康码的软件属于妨害传染病防治等危害公共卫生秩序的违法行为的网络帮助行为,本案具体涉及刑法哪种罪名,最终还是要看公安机关侦查所获得的证据。”单勇说。 单勇告诉记者,目前国内疫情防控形势严峻,这是典型的扰乱疫情防控行为,司法机关很有可能会将其作为典型案件办理,对社会起到释法和说理的作用,“我们处罚解某某的最终目的不光是为了惩处个别人,更重要的是通过该案件的办理,对类似的网络违法行为进行震慑,同时又对普通老百姓进行普法宣传”。 同时,单勇也强调,使用该软件的行为人虽然在一般情况下不涉及刑事犯罪,但存在扰乱治安等违反相关行政法规的行为,“比如有人明知自己感染新冠病毒或曾出入过高风险地区,为了通行方便而使用该软件,那就可能违反《治安管理处罚法》”。 改进验证手段堵上安全漏洞 许多网友在谴责解某某的同时,也对谷歌公司表示不满。 此前,谷歌Play应用软件商店曾规定,公开发布的接触者追踪应用必须由政府官方实体发布、受其委托开发或受其直接认可,此类应用包括出于应对或缓解COVID-19疫情的目的而跟踪或监控COVID-19感染者或接触者的所有应用。 但是,这么一个明显造假健康码的APP,是如何通过审核上架的? 据单勇介绍:“这种软件在国内的应用商店或网站平台很难上架。国家网信办、工信部等对此都有相关法规,规定了平台责任,也就是说平台上涉嫌违法或者传播不良信息的软件,都要及时删除,平台有这个义务。” 同时,该软件也暴露出健康码验证环节还存在不小的漏洞。目前,不论是出入超市、饭店等公共场所,还是乘坐地铁、高铁等交通工具,对健康码的验证大多是人工看一眼,这就给造假、用假者以可乘之机。 闰雷鸣表示,从网络安全角度看,健康码的安全性仍有提升空间,“它是一个电子凭证,电子凭证想要安全,就得设计很复杂的安全机制,来确保它不可否认、不可伪造”。 但闰雷鸣也认为,从目前健康码的应用场景来看,升级健康码或改用其他手段并无必要,只需改进验证手段即可堵上这个漏洞。 根据专家提示,记者用支付宝手机客户端扫描江苏省健康码,立即弹出提示:如果你是卡口工作人员,请用钉钉“扫一扫”入卡人员的健康码,检验健康码并上报状态。而相比手机扫码,采用类似超市收银那样的扫码手柄则更加快捷。 “电子凭证最好还是用电子检测手段进行验证,一个百余元手持扫码机就能扫出健康码的真伪,从技术上来说并不复杂,但有可能大幅增加行政管理难度和成本,这需要管理者综合考量。”闰雷鸣说道。
关 键 词: 免责声明不是避风港!APP升级堵漏洞
相关阅读