「臺灣社交距離」的介紹與雜談_艾俠

　　「臺灣社交距離」是前陣子疾病管制署發布的免費手機軟體，可以幫助使用者確認自己是否曾經和有傳染風險的人接觸；但這幾天疫情急速升溫時，我才注意到它的消息。和其他政府發布的東西一樣有不少人對它提出質疑，主要是在功能性和隱私方面的。我自己有安裝這個軟體，底下我要對它做一點比較偏普及的介紹，包含一點個人的想法。

「臺灣社交距離」軟體介面，十分簡潔易懂

最初的介紹

　　「臺灣社交距離」是基於去年 Google 和 Apple 共同開發的一系列接觸史追蹤技術^[1]開發出來的手機程式。它基本上是利用藍牙功能辨識和記錄所有所有靠近過的、安裝了相同軟體的手機；如果某支手機的主人確診，他可以利用軟體內的功能發佈通知，那些曾接觸過的手機就會像統一發票自動對獎那樣獲得提醒。因為這個記錄接觸史的過程是以隨機密碼的形式保存在個人的手機上，所以這很難用來追蹤個人的資訊，你也看不出發布的那個人是誰。它所做的就只是通知使用者你有危險了，最好去做個檢驗保護自己和身邊的人。軟體的功能極為精簡，很大程度上就真的像是一個只有自動對獎功能的軟體。

其限制，以及選擇的理由

　　極端重視隱私保護的另一面，是軟體的功能受到對應的限制，例如衛生機關無法利用它來主動追溯已知的確診患者接觸過的對象，而它的可靠性也很大程度上以整個社會的合作為前提，我們需要夠多的人安裝軟體、隨時開啟藍牙、確診者需要發布通知、最後收到警示的人主動通報，這個軟體才能發揮功能。其實我自己對這些前提能多大程度上成立是存疑的，不過如果還不到難以實現，而它的有效運作對我們來說幫助夠大（具體來說，它可能可以讓這個社會在疫情中蒙受的損失更少，或者更少的人在疫情中受到傷害），那麼在個人能力範圍內幫助這些前提成立就會是合理的選擇。另一方面，我覺得這個軟體的隱私保護以及重視個人選擇的設計在政府發行的軟體之中可以說是有代表性的，假如我們覺得這是個好的方向，那麼就會有更大的理由來幫助它成功。

資訊安全問題所在的地方

　　最後我想談資訊安全問題。基於這個軟體在安裝時不會和我們要求任何額外的權限、也根據開發者提供的軟體功能藍圖以及隱私權政策^[2]，我們應該可以合理地認為它並不會辨識或上傳使用者的個人資訊（這不意味著它不可能以欺騙或利用系統漏洞等方式獲取資訊，但這就比較陰謀論一點，在有具體根據之前不在合理猜想的討論範圍內）。同時由於服務所應用的是 Google 和 Apple 所共同設計的基礎功能，應該也可以被認為具備高水準的安全性。然而安全性問題可能來自其他方面：藍牙功能本身其實就能成為資安漏洞，只要有適當的設備和技術，專家有可能透過藍牙從旁擷取裝置內的資訊^[3][4]。雖然實際的藍牙攻擊事件在日常環境中很少發生。但如果你開著藍牙跑進資安大會之類滿地駭客的場合，可能沒多久就會有人在廣播中唸到你的名字提醒你手機被駭了。在安裝這個軟體之前，我其實不會開著藍牙在外面亂跑；而現在它則是一個我願意負擔的小小風險。

　　因為藍牙攻擊需要處於藍牙訊號的傳輸範圍內操作，所以遇到的機會其實不大。不過我還是會建議需要隨時開著藍牙的裝置裡面都不要有任何貴重或敏感的資料，例如重要的企業機密、或者和某個朋友一起拍的神☆奇☆的影片。

　　大概就這樣。

連結

• 臺灣社交距離（Android/iOS）

參考資料

1. Apple 和 Google 合作開發新冠肺炎接觸史追蹤技術。
2. 「臺灣社交距離App」常見問答集 (PDF)。
3. Shaikh Shahriar Hassan, Soumik Das Bibon, Md Shohrab Hossain & Mohammed Atiquzzaman (2018). Security threats in Bluetooth technology (PDF).
4. With Teddy Bear Bluetooth Hack, 11-Year-Old Proves IoT Security Is No Child’s Play. In Security Intelligence.