血氧app有必要吗，血氧app有用吗

与新兴科技传媒中心合作，本文由泛科学改写。详细专家回应请见：《测量血氧的App原理及信息安全》专家意见数据更新至2021年6月1日。由于新冠肺炎的疫情，人们关注了“隐形缺氧(又称快乐缺氧)”的问题，并讨论了测量血氧的方法。因此，印度公司(CareNow Healthcare)开发的血氧测量应用「CarePlix Vitals」被疯狂传播。但是这个APP是怎么测血氧的呢？你对安全性有疑问吗？

CarePlix Vitals官方宣传片

血氧 App 测得的数据，有多少参考价值？

冯佳大学医学信息与医学工程硕士林育德教授解释说，所谓氧饱和度，简单来说就是动脉血红蛋白中“氧合血红蛋白”的百分比。

普通的医疗设备(如血氧机)是利用“血红蛋白带氧”和“血红蛋白无氧”的不同光吸收特性，使“红光”和“红外光”交替照射手指内的动脉，然后用光电传感器检测不同波长接收到的信号，通过动脉血液对不同波长吸收光谱的差异计算出血氧浓度。

一般的血氧测量仪都是用红光和红外光来计算血氧浓度的。图//envato elements这款App〖CarePlix Vitals〗使用智能手机的“相机”功能代替血氧计的光线传感器，光源使用相机闪光灯代替红光和红外光的光源。

也许它只是处理特定颜色的图像信号来模拟血氧计的两个波长，从而计算出血氧浓度。或许计算误差也可以通过机器学习或者深度学习的算法计算出来，算法通过对大量数据的学习可以计算出接近标准仪器的数值。

但标准血氧计必须满足ISO 80601-2-61: 2017 [1]的性能规范，能分辨70%~100%的氧浓度；

但开发这款App的公司并未明确披露受试者、测试方法以及是否符合血氧计的性能规范，因此无法确认在用户处于“幸福缺氧”状态时是否能正确识别。

台湾省的医疗器械审批非常严格。如果是合格产品(包括医疗器械附加软件或App)，可以在保健福祉部食品药品监督管理局批准文号中查到。所以，还是建议公众不要过于信任或者依赖这种出现在网络上的App。

国防大学信息工程系助理教授周兆龙补充说，随着科学技术的快速发展，一些可穿戴设备(如智能手表和运动手环)也可以具有测量血氧的功能，但这些设备都需要红外传感器才能达到实用效果。

该设备必须有一个红外传感器，以实际测量血氧。图//wiki既然普通手机没有可以发射这两个红外光波段的组件，那么普通大众应该对这个“Careplix vitals”所宣称的血氧测量功能持保留态度。

此外，如果你想知道你手头的设备是否可以监测血氧，林育德教授建议用户可以在智能设备的用户手册中查看一下，看看是否有“血氧浓度App的测量结果不适合医疗使用，仅设计用于一般健身保健用途”之类的提示。

据了解，目前智能设备(包括apple watch)上的血氧功能应该还没有获得美国或欧盟医疗器械的认证。

00-1010印度警方宣布，目前市场上的一些假冒血氧检测应用程序[4]会窃取人们的个人信息。然而，国立中山大学信息工程系助理教授徐瑞豪表示，事实上，印度警方公布的app中并未提及CarePlix Vitals，CarePlix Vitals的开发公司在官网上发布了澄清声明[5]。

助理教授周兆龙解释说，这款应用受到很多人的质疑，因为它需要注册个人信息才能使用。然而，像智能手表或运动手环一样，用户的详细信息通常会被注册，以供记录和分析使用。

者的健康情况。因此，不能单纯从这款APP因为要注册个人资讯就认为一定有资安疑虑。

但虽然如此，他们仍提醒大家，即便是经过验证上架的APP还是有可能事后被发现资安漏洞，例如 2018 年，就曾有因为使用 Strava 运动手环内建的 GPS 轨迹功能，而不慎洩漏我国军营位置的例子[3]。

而合法的血氧侦测 APP 也仍然存在可能的资安疑虑，例如窃取个人生理资料或是指纹。

只要资料没有与用户的唯一个人识别码（如身分证字号、手机号码、Email 帐号等等）做连结，APP 就无从得知测验并上传的个人生理资料的拥有者是谁。因此，当侦测生理资料的 APP 要求个人用户注册以使用服务时，个人用户须谨慎的查验个资的用途，或是应保守谨慎的拒绝使用这样的 APP。

App 可能用什么方式窃取指纹？

指纹辨识是目前常用且最方便的个人识别验证方法，然而也存在许多窃取指纹并且破解指纹辨识系统的方法 [6]。

基本窃取指纹的方法有三种，

• 1) 利用黏土等软性材质来製作受害者的手指模型，但是需要能控制受害者的手指以进行物理性接触。
• 2) 直接扫描指纹并且将指纹图像利用 3D 列印机仿製指纹，并利用有弹性的材质来仿製类似人体手指的触感。
• 3) 拍摄手指接触过的玻璃表面所留下的指纹印，并且透过 3D 列印技术来仿製指纹。

后两者皆是利用指纹相关影像来仿製指纹，这也表示，血氧侦测 APP 有机会将侦测到的受测者手指影像，上传到云端，并利用来製作假指纹。

避免指纹被盗用，我该注意什么？

对于这类型的资安威胁，使用者可以採取以下的防护措施：

1. 不注册个资：对于血氧侦测 APP，如非必要，例如付款需要，则不提供个资进行注册。也避免有心人士可以连结伪造的指纹与使用者个人识别码；只要没有个人识别码，攻击者也无从使用伪造的指纹。
2. 使用多重身份认证：在您所使用的手机 APP 以及各种云端服务系统当中（如网路银行服务），避免只使用指纹做为个人识别并授权重大的操作（例如转帐）。而是搭配密码或是手机号码简讯认证跟指纹辨识一起使用，藉此可达到双因子甚至是多因子的身份识别认证。
3. 小心为上：如使用者是其服务机构的关键授权人员，且有机会使用到指纹辨识系统来验证个人身份，尤其是当使用者无法有足够的证据来检验血氧侦测 APP 合法且不会未经授权的收集指纹资料时，请尽量避免使用此类的APP。

林育德教授则提醒，如果该 App 是透过副档名为 apk 的档案下载安装，就要小心谨慎，因为在下载安装的过程，不知道会被植入什么奇怪的后门程式。而即使是以 Apple Store 或 Google Play 做为下载平台，看似较安全，但是上面的 App 也有不少是在上架之后才被发现有很大的资安问题而下架的。

总的来说，指纹的伪造需要有专业的技术与精密的仪器，成本相当高，但并非不可行。攻击者也会评估伪造的成本是否高于获得的利益。因此，个人在使用可能收集到个资或是生物特徵资料的 APP 时，应该以相对谨慎的态度，并且衡量得与失的角度，评估资安风险。