立場新聞 Stand News

智能燈柱 — 資訊安全威脅分析

2019/8/25 — 15:19

立場新聞圖片

立場新聞圖片

【文:大地上的資訊保安】

前言

一般嘅威脅分析(Threat Analysis)通常係針對一個特定目標,嘗試搵出唔同 Threat Actors 會對佢做成乜威脅。今次就偷換一下概念,分析一下當最近大家非常關注嘅智能燈柱,萬一被 Threat Actors (泛指所有有方法控制智能燈柱嘅人士或組織)利用,佢帶有嘅功能可以為一般市民帶來啲咩資訊安全方面嘅潛在威脅。

利申:今次嘅分析基於已公開或者可以從合法途徑取得嘅資料,亦只能以合理並可行嘅方法驗證。

廣告

#超長文 TL;DR 可以淨睇文中陰影部分嘅威脅#N同埋總結。

官方說法

首先睇下官方點講。

廣告

今年4月12日經濟日報[1]介紹咗智能燈柱入面嘅間隔:

智慧燈柱下層有4個配備智能門鎖的間隔,最底為供電系統設備使用,其餘則用作放置電腦、網絡設備等。(政府資訊科技總監辦公室提供)


圖片來源:OGCIO 相片(稍作修改遮蓋途人面貎)

而跟據政府新聞網今年7月16日嘅新聞稿[2]:

// 就觀塘和啟德發展區而言,位於九龍灣常悅道、啟德承啟道和觀塘市中心的50支智慧燈柱上月底投入服務,有關數據會在資料一線通發放,利便公眾運用,開發更多創新應用。 當局會採取適當措施保障私隱,包括安排智慧燈柱攝影機只拍攝公眾地方,並在顯眼位置張貼告示。 交通快拍方面,影像會在燈柱內處理,並降低解像度,有關資料傳送至資料一線通後即予刪除。 燈柱不設人臉識別功能,拍攝到的影像不會傳送第三方作人臉識別。 環保署用作監察非法傾倒建築廢物黑點的攝影機暫不啟動;運輸署藍牙交通探測器、收集車牌號碼的攝影機也暫不啟動。 //

而跟據同年 7 月 19 日政府嘅新聞公告[3]以及附件[4],小編整咗個表簡單總結一下智能燈柱嘅功能/應用以及相關裝置:


智能燈柱嘅功能/應用以及相關裝置總結。紅色嘅係小編認為當中較可能對大眾構成資訊安全威脅嘅裝置。

另外,另一篇政府新聞公報[5]及附件[6,7]有提到燈柱會預留空間安裝 5G 小型基站裝置:

//配合香港未來發展5G服務,預留空間,供流動網絡營辦商安裝第五代流動通訊(5G)服務的小型基站,亦可提供免費Wi-Fi服務。//

跟據 HGC 5月份嘅一份新聞稿[8](已被刪除),佢地可能係會喺智能燈柱安全5G裝置嘅服務供應商(之一?)。

小篇嘗試將以上較可能對大眾構成資訊安全威脅嘅裝置分可以為以下幾類:

  • 影像類
  • 無線訊號類
  • 定位類

呢啲裝置入面,除咗「(a) 藍牙交通探測器」同「(n) 智能影像處理器」之外,都有相應已被啟動嘅功能,可以被當作官方確認已投入運作。

已知裝置嘅潛在威脅

影像類

同影像類相關裝置有關嘅功能/應用有:

  • 收集車牌號碼計算不同類別車輛使用道路數量
  • 收集實時交通數據,以便與公眾共享以及交通監察
  • 監察非法棄置廢物

政府新聞網新聞稿[2]提到「交通快拍方面,影像會在燈柱內處理,並降低解像度」、「監察非法傾倒建築廢物黑點的攝影機暫不啟動」、「收集車牌號碼的攝影機也暫不啟動」。不過跟據經濟日報刊登[1]由 OGCIO 提供嘅照片,燈柱只安裝咗一組用作全景拍攝嘅鏡頭。

燈柱上已安裝嘅全景攝影機。圖片來源: OGCIO 相片

除非「暫不啟動」嘅係另一組未設置嘅全景攝影機(每個功能要各自1組大概唔太合理吧?),否則可以估計上述功能/應用其實係用同一組全景攝影機,將訊號傳到唔同嘅影像處理器。換句話說,所謂「攝影機暫不啟動」大概只係指「影像暫時唔會用作相關處理」。亦因為政府提到拍到交通快拍影像會被「降低解像度」,加上將來可能要支援「收集車牌號碼」等功能,可以合理地假設呢組全景攝影機有高解像度攝影功能。

威脅#1:高解像度攝影可以清楚地攝錄附近公眾地方所發生嘅事情。既然有高解像度攝影功能,任何能夠控制智能燈柱嘅 Threat Actors 都可以透過呢個功能觀察甚至記錄鏡頭對著嘅地方嘅一舉一動嘅能力。一舉一動包括一般市民嘅日常生活,或者特定嘅事件。 現時有咩措施保障一般市民?
- 政府聲稱「交通快拍」資料經「降低解像度」處理並發送後會即時刪除。其他功能未有啟動。
- 由於攝影機被安裝喺高處,亦未必有指示燈顯示係咪攝錄當中。
- 智能燈住同相關基建應該有足夠保安措施防止未授權人士存掛?
- 大家只能相信智能燈柱擁有者(即係政府)、營運商,以及其他有機會控制燈柱嘅人士只會將影像用作已公開嘅指定用途。
- 盡量唔好入鏡,或者入鏡前要做足保護身份措施…

講到「影像處理」,綜合現有資料,燈柱入面有以下影像處理器,估計用作以下用途:

  • (o) 一般影像處理器 Industrial grade computer for general image processing

    • 降低解像度
    • OCR (如讀取車牌)
    • 其他影像上嘅處理如光暗、對比調整等
  • (n) 智能影像處理器 Industrial grade computer for artificial intelligence image processing

    • 從畫面上辨認人同物件(e.g. 垃圾筒、被非法棄置嘅廢物)
    • 追蹤人同物件(e.g. 被非法棄置嘅廢物)

所謂智能影像處理器,應該係一啲已經建立好嘅 AI 模型配合相關硬件,用嚟做特定分析(e.g. 辨認、追蹤)。AI 模型係軟件,可以隨時更新,而相關硬件一般係通用嘅。

威脅#2:智能燈柱有(潛在)能力分析影像提取個人資訊,或提供影像作深入分析用途呢啲功能正如上面所講可以隨時更新。將來啟用「車牌辨識」功能時可以用作追蹤車輛。除咗表明唔會加入嘅「人臉識別」外,仲有其他方法識別同追蹤影像入面嘅人,例如步姿、衣著、髮型或者從外觀可以睇到嘅生物特徵(如耳嘅形狀)。回傳嘅影像理論上亦可以單獨或被關連用嚟做其他更複雜嘅分析。

現時有咩措施保障一般市民?

- 政府聲稱相關功能未有啟動,亦「不設人臉識別功能,拍攝到的影像不會傳送第三方作人臉識別」。

- 據說車片號碼會被加密,資料喺後台即時分析車輛類別後會被刪除[6]。

- 智能燈住同相關基建應該有足夠保安措施防止未授權人士存取掛?

- 大家只能相信智能燈柱擁有者(即係政府)、營運商,以及其他有機會控制燈柱嘅人士只會將影像用作已公開嘅指定用途。

- 盡量唔好入鏡,或者入鏡前要做足保護身份措施…

無線訊號類

首先講爭議性最大嘅藍牙功能。8 月 24 日星期六當日有現在人士影到呢個 BLE 裝置(BLE係 Bluetooth 嘅一種制式):

立場新聞圖片
呢個 BLE Locator 係咩嚟呢? 

立場新聞圖片

24日深夜 LD 發言人[9] 澄清咗呢個只係 BLE Beacon,只發送定位資訊而無收集功能:

//功能僅供發放燈柱的地理位置,讓任何智能手機接收智慧燈柱的藍牙信號,以作智慧城市應用程式定位之用,類似GPS的功能,為常見通用的定位訊標。 該藍牙訊標並不會收集使用者位置資料,亦沒有設定任何資料搜集或回傳功能。//

而 OGCIO 都喺零晨作咗相關澄清[10]:

//政府資訊科技總監辦公室發言人今日(八月二十五日)澄清,網上流傳相信是遭摧毀倒下的智慧燈柱內部分組件的圖片「BLE Locator Model: SPLD01」,實為智慧燈柱內的藍芽發射器,提供一個比全球定位系統(GPS)更準確的位置予市民及遊客使用,由物流及供應鏈多元技術研發中心研發。SPLD01代表「Smart Post Lands Department Model No 01」。//

如果屬實,就同其他定位裝置無異,留返之後定位部分講。

藍牙功能功能真正嘅重點在於監察其他裝置功能,即所謂「藍牙交通探測器」。基本上呢個就係一個藍牙sniffer,可以監聽範圍內嘅藍牙裝置。之前已經介紹過[11,12]監聽藍牙訊號可以追蹤及提取裝置(包括 iPhone)嘅資料。跟據政府俾出嚟嘅資料[4],呢個功能因為具爭議性所以暫未啟動。

跟住到Wi-Fi。智能燈柱上面嘅 Wi-Fi 裝置應該係用嚟提供 Wi-Fi.HK 嘅熱點服務,所造成嘅威脅大致上同其他現有 Wi-Fi.HK 同以前 GovWiFi 類似。密集嘅安裝可以用來追蹤裝置,亦可以用嚟截取通訊(包括用緊 Wi-Fi.HK 或者範圍內其他 Wi-Fi 嘅裝置)。

最後仲有5G小型基站。其實而家大家用3G、4G嗰陣,已經可以透過三角定位搵到特定裝置嘅位置,從而達至追縱效果。好多人都擔心隨著5G基站變得更密,技術上可以做到更準確嘅位置追縱[13]。不過呢點係需要電訊商配合,叫做多一個制衡點。而呢個威脅不限於智能燈柱而係將來所有5G基站嘅問題。

威脅#3:無線訊號可以追蹤裝置IDBluetooth / Wi-Fi / 5G 等無線網絡入面每個裝置都有個別嘅ID,密集嘅智能燈柱安裝可以被用來追蹤呢啲裝置。
現時有咩措施保障一般市民?
- 政府話佢哋只會抽取藍牙 MAC address 中部分數字作配對,其餘嘅會喺即時分析後刪除[6]。
- 部分裝置可以喺每次連接時或定期轉用 random ID,但長時間、大範圍嘅監察都有機會追蹤得到。
- 大家只能相信智能燈柱擁有者(即係政府)、營運商,以及其他有機會控制燈柱嘅人士唔會利用無線訊號追蹤市民
- 無需要時大家可以將自己裝置 Wi-Fi / Bluetooth 功能停用。

另外仲有所有呢啲無線裝置都可以用來截取相關通訊,當然呢點亦不限於智能燈柱,但密集嘅燈柱理論上可以更容易截取更多通訊。不過每種通訊都有各自嘅保安措施,但亦不時被發現有漏洞或者相應嘅弱點,例如:燈柱上面嘅 Wi-Fi.HK 熱點暫時係 Open Network 無加密嘅、藍牙最近咁啱有漏洞可以將加密弱化[14]。

威脅#4:無線訊號裝置可以用來截取相關通訊密集嘅智能燈柱提供更多截取通訊可能性,而且截取嗰陣唔容易被發覺。
現時有咩措施保障一般市民?
- 每種通訊都有各自嘅保安措施,但亦不時被發現有漏洞或者相應嘅弱點。
- 大家只能相信智能燈柱擁有者(即係政府)、營運商,以及其他有機會控制燈柱嘅人士唔會利用無線訊號截取通訊
- 無需要時大家可以將自己裝置 Wi-Fi / Bluetooth 功能停用。
- 喺附近上網的話可以善用其他行之有效嘢技術如 VPN / HTTPS / DOT / DOH / TLS 等等作多一從保障。

定位類

先講最容易理解嘅 QR code。原理係用讀取器一「嘟」個 code 就會拎到一條 URL 連去 LD 嘅系統,URL入面帶有燈柱位罝資訊。視乎用咩 QR code 讀取器,有啲會自動打開條 URL,另一啲就會俾用家決定係咪要打開條 URL。無論如何,一打開條 URL,入面帶有嘅燈柱位置資訊就會被發送到 LD 嘅系統,從而取得燈處嘅資料。

舉個例,呢篇分析最頂嘅圖片入面嘅 QR code 其實就係等於呢條 URL:

https://www.geodetic.gov.hk/LP/?LP=AB1558&GEO=22.321932,114.210415,4.9

URL 入面就有燈柱嘅 ID(AB1558)同埋座標(22.321932,114.210415,4.9)。LD 嘅系統就係靠呢啲資訊搵出相關嘅資料。當你開啟個網站,理論上對方可以紀錄你嘅 IP address,但未必準確,而且行動嘅決定權喺你手。亦留意 QR code 容易被其他 QR code 貼紙覆蓋,從而修改內容。

至於另一爭議嘅 RFID,有好多人擔心可以讀取一樣取用 RFID 技術嘅新智能身份證。不過 RFID 其實有好多種,頻率可以好唔同、操作方式起碼都分主動/被動兩種。小編早前趁有時間曾經去觀塘嘗試了解其中十幾支智能燈柱嘅 RFID 運作方式。

透過手機程式可以發現呢啲燈柱入面嘅 RFID 裝置類型為 ISO/IEC 14443-2/3 (Type A) compatible,同新智能身份證用同一頻率同制式。而事實上,要透過 RFID 同新智能身份證互動,需要先用光學掃描器讀取一個印喺身份證表面嘅獨特資料,傳送並轉代為密匙,先可以成功認證並讀取資料[15]。所以就算燈柱入面嘅 RFID 「裝置」有主動掃描功能,都唔可以直接隔空讀取新智能身份證嘅資料。咁其實大家身上應該仲有好多同 ISO/IEC 14443-2/3 (Type A) 制式相容嘅智能卡,一樣可以用作追蹤/識別功能,咁又讀唔讀到呢?

用另一手機程式可以辨認到燈柱入面嘅 RFID 裝置屬於 NXP MIFARE Ultralight - NTAG216 種類[16],係一種 NFC 標籤。呢啲標籤係被動型,只能靠其他裝置主動讀取。即係話呢個 RFID 裝置唔可以主動讀取任何其他智能咭。

咁如果用程式主動去讀呢個 RFID 標籤又會見到乜?可以見到有 10 項 NDEF message 紀錄,包括 2 項 URI 紀錄同 10 項純文字紀錄,當中可以見到:

  • 同 QR code 內容一樣嘅 URL(https:)
  • Scheme 為 geo: 嘅 URI (估計係俾特定程式讀取)
  • 燈柱坐標
  • 燈柱ID
  • UID
  • 日期/版本
  • SHA256 checksum
  • 同埋寫有“Survey & Mapping Office, Lands Department”嘅字串

可以參考從燈柱 ID AB1558 RFID 標籤讀取嘅數據做例子[17]。

燈柱 ID AB1558 內 RFID 標籤讀取嘅 URL 同 QR code 內嘅一樣。

值得一提嘅係,某啲 RFID 標籤可以被重寫內容。

威脅#5:QR code、RFID tag內容可能被修改用作其他攻擊用途QR code 可被貼紙覆蓋、RFID 標籤有機會被重寫(需密碼但可破解)。部分裝置(e.g.某啲版本嘅手機)讀取呢啲資料時可能會因應內容自動觸發唔同嘅動作(如連上指定 Wi-Fi 網絡、開啟特定網頁、加入指定聯絡人等等),可能構成威脅。
現時有咩措施保障一般市民?
- 諷刺地,如果智能燈柱夠密,當其中一條燈柱被未授權人士破壞或改動,其他燈柱有機會影得到。
- 大家只能相信智能燈柱擁有者(即係政府)、營運商,以及其他有機會控制燈柱嘅人士唔會喺 QR code/RFID/藍牙 beacon 度放啲奇怪嘢,放咗好容易被發現。
- 大家可以避免主動去讀取燈柱上嘅 QR code 同 RFID tag內容。

至於之前提到嘅 BLE Locator,原理大概同 QR code / RFID 標籤類似,一樣係提供位置數據,不過就係主動咁將位置用 beacon 形式發送出嚟,估計係用嚟俾特定程式或裝置自動定位用。推斷唔可以喺目標缺乏特定程式或裝置嘅情況下追蹤嗰個目標嘅位置。BTW,小編當日嘗試過用手機接收 BLE/Bluetooth 訊號,但因為附近太多裝置而未能識別邊啲先係由智能燈柱發出,所以證實唔到。

其他可能威脅

未知裝置?

燈柱入面仲有無其他會構成資訊安全威脅嘅裝置呢?網上流傳24日星期六當日現場人士收集到嘅資料[18]:

- Industrial Ethernet Switch
- IE 1000-8P2S-LM 制造商:Cisco(美國) 產地:中國?? **獲中華人民共和國信息產業部頒發?『進網許可』,代表該設備可連接中國國內公用電訊網,最常出現於內地發售的「水貨」聯網產品。
- 藍牙定位器
- SPLD01 制造商:TickTack Tech(香港) 產地:未知 *跟上海三思路燈同名,該公司為中國天網工程承辦商之一
- 火牛
- HEP-320-24A/HEP-185-24A 制造商:Mean Well(台灣) 產地:中國??
- Wi-Fi Access Point
- E510 制造商:Ruckus(美國) 產地:中國??
- 無線路由器 單頻(2.4 GHz) 快速乙太網路 3G 4G - MAX BR1 Mini 制造商:Peplink;母公司為珩灣科技(香港) 產地:中國??*配以CSL SIM card 使用 - 1000Mbps Multi-Mode Rugged SFP
- GLC-SX-MM-RGD 制造商:Cisco(美國) 產地:中國??

暫時嚟睇,呢啲裝置似乎同官方說法並無衝突。不過今日無其他裝置並唔代表以後都唔會有。

威脅#6:智能燈柱可能有其他未知功能軟件可以透過網絡更新之外,亦可以透過打開燈柱上面嘅間隔更新或安裝新硬件。事實上,燈柱嘅物理防護明顯不足。先唔講唔係人人都會勇武到出動電鋸,燈柱上面嘅間隔只係靠特定金屬螺絲安裝上…唔難開。據說仲有智能門鎖[7],但暫時未有足夠資料。
現時有咩措施保障一般市民?
- 諷刺地,如果智能燈柱夠密,當其中一條燈柱被未授權人士破壞或改動,其他燈柱有機會影得到。
- 大家只能相信智能燈柱擁有者(即係政府)、營運商,以及其他有機會控制燈柱嘅人士只會將影像用作已公開嘅指定用途。
- 另外要相信佢哋有足夠而有效 change management,唔會無啦啦去加啲未授權嘅功能、軟件或者硬件…
- 盡量唔好入鏡,或者入鏡前要做足保護身份措施…

傳說中嘅 T3 公司

跟據公司註冊處嘅網上資料[19],呢間全名係 Ticktack Technology Limited (T3) 嘅香港公司係 2017年10月11日成立。而跟據 WHOIS 紀錄[20],ticktack.tech 呢個 domain 喺同年11月8日登記,不過著咗 WHOISGuard 服務,未能確認係咪 T3 公司所擁有。連登仔[21]發現呢個 domain 喺8月25日星期六當日係連接去一個 title 係「StarRiver」嘅「上海三思路灯控制系统」,仲有人成功登入?,見到入面嘅地圖有奇怪嘅藍色點,不過就同現時已知嘅智能燈柱位置[4]有出入。

美孚/荔枝角一帶。(網上圖片)

觀塘/牛頭角一帶。(網上圖片)

跟據網上搵到嘅疑似上海三思公司寫發佈嘅用戶手冊[22],呢個系統似乎主要係管理街燈照明光暗同埋其他加上去嘅感應器,未知包唔包括鏡頭。

不過呢間公司嘅網站喺8月25日星期日零晨又被更新,內容變返香港 T3 公司嘅網站,並附帶一個公告:

TickTack Technology Limited(訊科系統有限公司)為一間在香港創立的本地科技公司,致力提供各種智慧城市相關之解決方案及智能產品。 早前本公司網頁內容更新時,內部人員誤把另一項目的供應商 (上海三思)連結至本公司主頁。 本公司鄭重澄清:

1. 本公司網頁連結提及的路燈控制系統,並沒有應用予香港智慧燈柱項目,而是本公司為其他客户測試的其他項目(其中包括本地、外國及內地供應商),測試功能亦只限於照明開關。

2. 訊科系統有限公司與上海三思並無任何股權或從屬關係,而本公司的兩位股東/董事及所有員工亦為土生土長的香港人,從來沒有在內地擁有任何公司股權或與任何內地公司有從屬關係。

由此衍生之誤會,本公司向社會各界致以深切歉意。
我們明白過去數月之社會紛爭導致市民對各種科技應用的戒心及不信任。作為一間立足香港的科技公司,同時是本地創科界的一份子,我們希望能就此錯誤作出澄清。(Email: [email protected])

檢查 Internet Archive[23],網頁結構同2018年8月以及2019年2月嘅版本類似。如果公告內文屬實,可能只係 DNS 設定出錯問題,但無從考究出錯原因。亦無足夠資料確認系統入面香港地圖上嘅藍色點係乜,從位置估計可能係燈柱。OGCIO 有關 BLE Locator 嘅澄清[10]入面提到嘅另一間負責路政署路燈維修嘅合約分判商有機會同 T3 公司公告入面提到嘅「另一項目」有關。

總結

  • 高解像度全景鏡頭絕對係重點中嘅重點!大家最關注嘅「人臉識別功能」仲有其他各種可以從影像中辨識身份嘅自動化/半自動化/手動功能,的確有可能影響一般市民嘅私隱。似乎現階段除咗相信政府講法同公務員同事會好好把關,同埋「多功能智慧燈柱技術諮詢專責委員會」[24]之外,並無有效方法處理。
  • 其次就係已公開嘅「藍牙探測器」功能的確有可能追蹤到大家嘅裝置,但未有證據顯示已經啟用。另外無證據證明 BLE Locator SPLD01 同藍牙監聽功能有關。
  • 至於燈柱入面 Wi-Fi 裝置嘅相關威脅,自從有 Wi-Fi.HK 甚至更早嘅 GovWiFi 其實一直存在。智能燈柱只係令佢哋更密。
  • 5G小型基站的確可以做到更準確嘅位置追蹤,不過呢點應該需要電訊商配合。
  • 未有證據顯示燈柱入面 RFID 相關裝置會主動對市民構成威脅。但 RFID tag 同 QR code 內容可能被修改作其他攻擊用途,你唔多手搞佢就無事。
  • 燈柱嘅所謂定位功能,除咗 BLE 會主動發射資料(需要特定程式/裝置讀取)之外,其他都係被動形式。即係你唔用理論上唔可以靠呢個功能追蹤到你嘅位置。
  • 暫時未有證據顯示有其他未知裝置可能對一般市民構成資訊安全或私隱威脅,將來會唔會有其他裝置只能靠政府、公務員及其他相關人員把關。
  • 傳說中嘅 T3 公司係香港公司,澄清咗被關注嘅「StarRiver」系統未必係大家諗緊內地監控嘅證據,但無從證實。
  • 真係好擔心嘅盡量唔好入鏡,或者入鏡前要做足保護身份措施。無需要時亦應停用自己裝置嘅藍牙 / Wi-Fi 功能。

總括而言,根據暫時已知資料,智能燈柱對一般市民嘅最大資訊安全/私隱威脅在於「高解像度鏡頭」同「藍牙探測器」。而大部分威脅暫時都主要靠市民對政府嘅信任去解決,又或者一啲治標唔治本嘅自我保護嘅小措施。智能燈柱/智慧城市本身可能大趨勢亦可能對香港科技發展係一件好事,但喺現今政府完全得唔到一大部分市民嘅信任嘅情況下,似乎未必係適合時機…

P.S.

註:

作者FB大地上的資訊保安

發表意見