一位化名为奥尔德森(Elliot Alderson)的法国黑客日前在Twitter上表示,其发现了印度政府“Aarogya Setu”新型冠状病毒追踪APP的安全问题,这可能会危及9000万印度人的隐私。作为一名有良心的黑客,奥尔德森已经将这个问题“标记”发送至印度计算机应急响应小组(CERT)和隶属于印度电子和信息技术部的国家信息中心(NIC)。奥尔德森早先还曝光了印度政府“mAadhar”安卓应用程序的问题。
周二,奥尔德森在Twitter上声称,他发现了Aarogya Setu应用程序的一个安全问题,并要求印度政府私下联系他,以便向当局详细披露。印度政府很快联系了这名黑客,了解相关情况。奥尔德森现在正在等待这一问题的解决方案,如果印度政府解决不了,那么按照“白帽”黑客的核心原则,他将公开披露这一问题。
印度政府确实在昨晚凌晨对黑客的推特做出了详细的回应。但奥尔德森仍在等待政府出手修复,用他的话来说,印度政府的回应基本上是“(这里)没什么问题啊”。换句话说,按照印度政府的说法,Aarogya Setu一切正常。
Aarogya Setu的制作者回应称:“这位黑客没有证明用户的个人信息处于危险之中。我们一直在测试和升级该系统。Aarogya Setu团队向所有人保证,没有发现任何数据或安全漏洞。”
奥尔德森已经在推特上宣布,若这个问题得不到修复,他将于今天公布更多信息。
与此同时,奥尔德森不是唯一一个在隐私方面向Aarogya Setu提出警告的人。位于新德里的软件自由法律中心(Software Freedom Law Centre)声称,这个应用程序会收集如性别和旅行记录等敏感的用户数据。互联网自由基金会(IFF)也宣称Aarogya Setu缺乏透明度。
这类问题特别严重,需要深入研究,因为即使Aarogya Setu看起来是一个“自愿安装”的应用程序,但它每天都在变得越来越“强制”。按照印度警方的最新要求,在诺伊达和大诺伊达这些地方如果没有在手机上安装这个程序,甚至会面临处罚。
印度政府还要求公共和私营部门雇员把它安装在智能手机上。印度内政部最近的一项指令要求:“所有员工都必须使用Aarogya Setu应用程序,包括私人部门和公共部门的员工。各机构负责人有责任确保该应用程序在员工中的覆盖率达到100%。”所以可以说,Aarogya Setu已经是印度中央政府雇员以及居住在隔离区居民的必装软件。
