“白帽”黑客：印度政府的定位程序存漏洞，可危及千萬人隱私

一位化名為奧爾德森(Elliot Alderson)的法國黑客日前在Twitter上表示，其發(fā)現(xiàn)了印度政府“Aarogya Setu”新型冠狀病毒追蹤APP的安全問題，這可能會危及9000萬印度人的隱私。作為一名有良心的黑客，奧爾德森已經(jīng)將這個問題“標(biāo)記”發(fā)送至印度計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)和隸屬于印度電子和信息技術(shù)部的國家信息中心(NIC)。奧爾德森早先還曝光了印度政府“mAadhar”安卓應(yīng)用程序的問題。

周二，奧爾德森在Twitter上聲稱，他發(fā)現(xiàn)了Aarogya Setu應(yīng)用程序的一個安全問題，并要求印度政府私下聯(lián)系他，以便向當(dāng)局詳細(xì)披露。印度政府很快聯(lián)系了這名黑客，了解相關(guān)情況。奧爾德森現(xiàn)在正在等待這一問題的解決方案，如果印度政府解決不了，那么按照“白帽”黑客的核心原則，他將公開披露這一問題。

印度政府確實(shí)在昨晚凌晨對黑客的推特做出了詳細(xì)的回應(yīng)。但奧爾德森仍在等待政府出手修復(fù)，用他的話來說，印度政府的回應(yīng)基本上是“（這里）沒什么問題啊”。換句話說，按照印度政府的說法，Aarogya Setu一切正常。

Aarogya Setu的制作者回應(yīng)稱：“這位黑客沒有證明用戶的個人信息處于危險之中。我們一直在測試和升級該系統(tǒng)。Aarogya Setu團(tuán)隊(duì)向所有人保證，沒有發(fā)現(xiàn)任何數(shù)據(jù)或安全漏洞?！?/p>

奧爾德森已經(jīng)在推特上宣布，若這個問題得不到修復(fù)，他將于今天公布更多信息。

與此同時，奧爾德森不是唯一一個在隱私方面向Aarogya Setu提出警告的人。位于新德里的軟件自由法律中心（Software Freedom Law Centre）聲稱，這個應(yīng)用程序會收集如性別和旅行記錄等敏感的用戶數(shù)據(jù)。互聯(lián)網(wǎng)自由基金會(IFF)也宣稱Aarogya Setu缺乏透明度。

這類問題特別嚴(yán)重，需要深入研究，因?yàn)榧词笰arogya Setu看起來是一個“自愿安裝”的應(yīng)用程序，但它每天都在變得越來越“強(qiáng)制”。按照印度警方的最新要求，在諾伊達(dá)和大諾伊達(dá)這些地方如果沒有在手機(jī)上安裝這個程序，甚至?xí)媾R處罰。

印度政府還要求公共和私營部門雇員把它安裝在智能手機(jī)上。印度內(nèi)政部最近的一項(xiàng)指令要求：“所有員工都必須使用Aarogya Setu應(yīng)用程序，包括私人部門和公共部門的員工。各機(jī)構(gòu)負(fù)責(zé)人有責(zé)任確保該應(yīng)用程序在員工中的覆蓋率達(dá)到100%?！彼钥梢哉f，Aarogya Setu已經(jīng)是印度中央政府雇員以及居住在隔離區(qū)居民的必裝軟件。