【事實釐清】網傳「我知道現在很多人想買血氧機也買不到...有人發明這個簡易的app可以用手機偵測血氧濃度,準確率還不錯...」?
【事實釐清】網傳「我知道現在很多人想買血氧機也買不到...有人發明這個簡易的app可以用手機偵測血氧濃度,準確率還不錯...」?
經查:
一、專家指出, 此款App並未達到醫學器材的準確度,測量數值只能做為參考。
二、資安專家指出,需特別留意此款App未在Andriod系統的Google Play平台上架。為了保護資安,民眾使用此App時,可用假名註冊帳號,下載時,可檢視此App要求權限、開發公司的相關背景等,進行判斷。
【更新說明 2021/6/8 】為求準確,本報告更新爭議點二、三和四,補充、更新血氧App運作原理與資安疑慮訊息。特此感謝讀者來函討論與指正。
背景
近期一款宣稱能測量血氧濃度的App在社群平台及通訊軟體熱傳,相關的傳言宣稱:
「網路轉分享 我知道現在很多人想買血氧機也買不到。 剛剛我醫科的同學傳的這個訊息給我,說這個軟體是印度人發明的,他們疫情死傷無數,醫療儀器更是匱乏。就有人發明這個簡易的app可以用手機偵測血氧濃度,準確率還不錯,我剛剛測試是可以用的。 Careplix Vitals 用手機簡易測量血氧的APP 用手機鏡頭搭配補光燈來測量,有人說跟攜帶型血氧機的誤差約在1趴而已 希望大家也幫忙測試一下,回報一下準確率! 」
圖1:通訊軟體流傳訊息擷圖
圖2:社群平台流傳訊息擷圖
查核
爭議點一、傳言提及的手機應用程式(App)為何?
查核中心依照傳言提供的連結安裝此App,點選後需要註冊帳號,填寫姓名、性別、生日、電子郵件、國家,並設定密碼。查核中心實際測試,填寫的資料不需要再次驗證,任意填寫也可以註冊帳號。
圖3:此款App下載後須註冊帳號。
註冊帳號後進入App的頁面,點選右下角的「Scan Vitals」,即是此App宣稱可測量血氧濃度的功能。
圖4、5:點選右下角的「Scan Vitals」,即是此App宣稱可測量血氧濃度的功能。
查核中心測試,此App會啟用手機的相機鏡頭和GPS定位的功能,點選「開始掃描(Start Scan)」後App會啟用鏡頭,使用者須以手指完全蓋住鏡頭,接著此App就會開始偵測數值,顯示用戶的血氧濃度 (Oxygen Saturation)、心率(Heart Rate)、呼吸速率(Respiration Rate)。
圖6、7:此App會啟用鏡頭功能,用戶以手指完全蓋住鏡頭,App即可偵測血氧濃度 (Oxygen Saturation)、心率(Heart Rate)、呼吸速率(Respiration Rate)。
爭議點二、這款App宣稱可測量血氧濃度,其原理為何?
(一)查核中心檢視APP開發商的官方網站。網站說明指出,這個App是使用光體積變化描記圖訊號(photoplethysmography,簡稱PPG)技術,而此技術已被應用於醫療和保健領域,常見的例子包括透過放置手指監測氧飽和度的脈搏氧氣設備,或監測心率的運動手錶。
網站同時指出,這個App可被民眾用來自我監測血氧,但無法取代醫療設備,也不應被用於任何臨床決策和診斷。
(二)查核中心透過新興科技媒體中心,採訪中山大學資訊工程學系助理教授徐瑞壕。徐瑞壕指出,此款APP的原理主要是利用光體積變化描記圖法(Photoplethysmography, PPG)來計算受測者的血氧,透過智慧型手機上的照相機閃光燈照亮手指,並透過照相機鏡頭監控皮膚上的反射光,來觀察動脈中血液輸送與血流量的週期變化,藉此推得受測者的血氧濃度。
PPG技術可以測量血氧濃度,像是Apple Watch也有類似的功能,這是在Apple Watch背後設有數個LED燈,透過各發出不同的紅外線光源,打入皮膚後會有不同反射,可以藉由光的變化或是紅外線訊號的變化來偵測血氧濃度。
徐瑞壕說,手機鏡頭沒有紅外線,光源就比較單一,但手指貼到光源會呈現不一樣的顏色,這個App就是用顏色來去辨識血液的輸送狀態,進而測量血氧濃度。
(三)新興科技媒體中心採訪逢甲大學自動控制工程學系、生醫資訊暨生醫工程碩士學位學程教授林育德說,醫療器材等級的血氧濃度計,夾在手指頭的探頭中採用的紅光和紅外光的光源,照射手指頭的動脈,藉由動脈血對於不同波長的吸收光譜差異,計算血氧濃度。而手機App則是利用手機閃光燈取代紅光和紅外光,它的內部僅處理特定顏色的影像信號來模擬血氧濃度計的兩種波長,計算的誤差或許亦可透過機器學習或是深度學習的演算法,藉由大量數據的學習讓演算法計算出接近標準儀器的數值。
爭議點三、運用此手機App測出的數值是否能準確?
(一)徐瑞壕說,這樣的App或Apple Watch,仍然不是醫療等級的檢測儀器,只能作為相對的參考。其中,手機App中間存在很多變數,每個手機閃光燈的強弱、鏡頭品質皆不盡相同、手指粗細不同,因此,檢測方式誤差較大,準確度仍無法比得上脈搏血氧機。此外,Apple公司特別註明,測得的結果僅供居家保健使用,不能被使用於醫療用途。
(二)台大醫院急診醫學副教授李建璋指出,合格的醫療器材會必須通過美國FDA的認證。測量血氧功能的手機APP,並未獲得「醫療器材」認證,其測量結果並不能達到醫療等級的準確度,只能做為參考。
(三)林口長庚醫院呼吸胸腔科主治醫師柯皓文表示,自己沒有使用過手機APP測血氧,對此持保守態度,連一般手指型血氧機都有可能測不準,最標準的作法還是抽動脈血來分析。
柯皓文說明,手指型血氧機是利用光學技術,透過指甲,偵側微血管中帶氧血紅素與沒有帶氧的血紅素之比例,優點是可以連續監測,但準確度不一定百分之百,例如病患有塗指甲油,或是血液中一氧化碳濃度太高,都會影響準確度。
抽動脈血去分析是最標準的測血氧方式,但是血液送檢與分析需要時間,也無法連續性監測,因此醫院會同時使用兩種方式,雙管齊下監測病患血氧濃度。
(四)新興科技媒體中心採訪林育德,林育德說,此款App的公司並未揭露受測者、測試方法以及是否符合血氧濃度計性能規範,因此,無法確認使用者如果出現快樂缺氧,是否能夠此App辨認出來。同時,台灣對於醫療器材的核准相當嚴謹的,合格才能獲得食藥署核准字號。建議民眾不要過於依賴未獲得核可的App。
爭議點四、這款App是否有資安疑慮?
(一)趨勢科技防詐達人產品經理劉彥伯協助檢視「Careplix App」後指出,以App本身來看沒有太大的問題,它在用戶填寫資料的部分,沒有要求真實的資料並做驗證。如果民眾擔心個資外洩,可以填寫自己能辨識的假名、密碼,或使用額外的、不重要的電郵來申請帳號。
劉彥伯指出,比較有疑慮的是,開發這個App的是一間新創公司,所以它可能出現的狀況是,公司的資安防護有漏洞。因為通常「資訊安全」對一般公司是最後的考量,以新創公司來說,它們首先會先追求新創事業的穩定,有穩定收入後才會去確定用戶資料的安全性。就像人買了電腦,會先購置常用軟體、硬體,例如滑鼠、螢幕,而防毒、資安相關的軟體是排在比較後面的選擇。
劉彥伯也指出,另一比較有疑慮的地方是,「Careplix App」在 iOS系統的App Store上有通過審核,但在Android系統的Google Play上沒有通過審核。通常從App Store或Google Play下載的App會相對比較安全,因為蘋果和Google會審核App,去看它會存取哪些權限。例如這個測量血氧量的App,主要是用相機的功能做辨識,和電話、簡訊沒有關係,假設這樣的App要求電話、簡訊、甚至是錄音的權限,就有疑慮。
劉彥伯建議,民眾在安裝手機App時,下載在App Store或Google Play平台上的App相對比較安全。如果還是很擔心,可以裝手機防毒軟體,或是檢視App的開發公司在資安防護上是否到位,填寫資料的時候不要填真名,改填寫自己可以辨識的代號或英文名稱。另外,下載App時也可觀察它會存取哪些權限。
(二)徐瑞壕指出,這款「Careplix App」有在官網聲明,表示沒有竊取用戶個資。要注意的是,這款App目前沒有在Andriod系統的Google Play平台上架,確實有疑慮。因為iOS和Andriod系統的平台會審核申請上架App有沒有惡意行為,或要求存取不必要的功能。如果不是從官方的App Store下載,或缺乏第三方的檢測證明,民眾需自行承擔比較大的資安風險。
徐瑞壕說明,當偵測生理資料的APP要求個人用戶註冊以使用服務時,民眾必須評估提供這些資料是否有必要,以及謹慎檢視資料外流後是否有相當風險。
徐瑞壕說,「Careplix App」需要用戶將手指貼在鏡頭上,不能確定手指貼上去前,此款APP是否已經在運作、照相,這可能把指紋照進去。對攻擊者來說,雖然偽造指紋的成本相當高,但技術並非不可行,建議民眾必須理解相關風險,下載使用前必須審慎評估。
徐瑞壕建議民眾,在使用任何資訊系統,要有利益得失的評估,如果有一些資訊服務,例如網路銀行,是用指紋來做辨識,這樣洩露指紋可能會有問題。但如果銀行轉帳有搭配多組密碼,這樣指紋遺失的風險,不至於高到產生重大損失。此外,資安風險和人的身份也有關係,資訊系統負責人、國安單位、軍方人員等,指紋洩露會有資安疑慮,不建議隨意地使用此類App。
結論
一、專家指出, 此款App並未達到醫學器材的準確度,測量數值只能做為參考。
二、資安專家指出,需留意此款App未在Andriod系統的Google Play平台上架。為了保護資安,民眾使用此App時,可用假名註冊帳號,下載時,可檢視此App要求權限、開發公司的相關背景等,進行判斷。
〈首圖:Pexels;作者:Rodolpho Zanardo〉