一位化名為奧爾德森(Elliot Alderson)的法國(guó)黑客日前在Twitter上表示,其發(fā)現(xiàn)了印度政府“Aarogya Setu”新型冠狀病毒追蹤APP的安全問題,這可能會(huì)危及9000萬(wàn)印度人的隱私。作為一名有良心的黑客,奧爾德森已經(jīng)將這個(gè)問題“標(biāo)記”發(fā)送至印度計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)和隸屬于印度電子和信息技術(shù)部的國(guó)家信息中心(NIC)。奧爾德森早先還曝光了印度政府“mAadhar”安卓應(yīng)用程序的問題。
周二,奧爾德森在Twitter上聲稱,他發(fā)現(xiàn)了Aarogya Setu應(yīng)用程序的一個(gè)安全問題,并要求印度政府私下聯(lián)系他,以便向當(dāng)局詳細(xì)披露。印度政府很快聯(lián)系了這名黑客,了解相關(guān)情況。奧爾德森現(xiàn)在正在等待這一問題的解決方案,如果印度政府解決不了,那么按照“白帽”黑客的核心原則,他將公開披露這一問題。
印度政府確實(shí)在昨晚凌晨對(duì)黑客的推特做出了詳細(xì)的回應(yīng)。但奧爾德森仍在等待政府出手修復(fù),用他的話來說,印度政府的回應(yīng)基本上是“(這里)沒什么問題啊”。換句話說,按照印度政府的說法,Aarogya Setu一切正常。
Aarogya Setu的制作者回應(yīng)稱:“這位黑客沒有證明用戶的個(gè)人信息處于危險(xiǎn)之中。我們一直在測(cè)試和升級(jí)該系統(tǒng)。Aarogya Setu團(tuán)隊(duì)向所有人保證,沒有發(fā)現(xiàn)任何數(shù)據(jù)或安全漏洞。”
奧爾德森已經(jīng)在推特上宣布,若這個(gè)問題得不到修復(fù),他將于今天公布更多信息。
與此同時(shí),奧爾德森不是唯一一個(gè)在隱私方面向Aarogya Setu提出警告的人。位于新德里的軟件自由法律中心(Software Freedom Law Centre)聲稱,這個(gè)應(yīng)用程序會(huì)收集如性別和旅行記錄等敏感的用戶數(shù)據(jù)?;ヂ?lián)網(wǎng)自由基金會(huì)(IFF)也宣稱Aarogya Setu缺乏透明度。
這類問題特別嚴(yán)重,需要深入研究,因?yàn)榧词笰arogya Setu看起來是一個(gè)“自愿安裝”的應(yīng)用程序,但它每天都在變得越來越“強(qiáng)制”。按照印度警方的最新要求,在諾伊達(dá)和大諾伊達(dá)這些地方如果沒有在手機(jī)上安裝這個(gè)程序,甚至?xí)媾R處罰。
印度政府還要求公共和私營(yíng)部門雇員把它安裝在智能手機(jī)上。印度內(nèi)政部最近的一項(xiàng)指令要求:“所有員工都必須使用Aarogya Setu應(yīng)用程序,包括私人部門和公共部門的員工。各機(jī)構(gòu)負(fù)責(zé)人有責(zé)任確保該應(yīng)用程序在員工中的覆蓋率達(dá)到100%。”所以可以說,Aarogya Setu已經(jīng)是印度中央政府雇員以及居住在隔離區(qū)居民的必裝軟件。