“白帽”黑客：印度政府的定位程序存漏洞，危及9000萬(wàn)人隱私

北京時(shí)間5月6日消息，一位化名為奧爾德森(Elliot Alderson)的法國(guó)黑客日前在Twitter上表示，其發(fā)現(xiàn)了印度政府“Aarogya Setu”新型冠狀病毒追蹤APP的安全問(wèn)題，這可能會(huì)危及9000萬(wàn)印度人的隱私。作為一名有良心的黑客，奧爾德森已經(jīng)將這個(gè)問(wèn)題“標(biāo)記”發(fā)送至印度計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)和隸屬于印度電子和信息技術(shù)部的國(guó)家信息中心(NIC)。奧爾德森早先還曝光了印度政府“mAadhar”安卓應(yīng)用程序的問(wèn)題。

周二，奧爾德森在Twitter上聲稱，他發(fā)現(xiàn)了Aarogya Setu應(yīng)用程序的一個(gè)安全問(wèn)題，并要求印度政府私下聯(lián)系他，以便向當(dāng)局詳細(xì)披露。印度政府很快聯(lián)系了這名黑客，了解相關(guān)情況。奧爾德森現(xiàn)在正在等待這一問(wèn)題的解決方案，如果印度政府解決不了，那么按照“白帽”黑客的核心原則，他將公開披露這一問(wèn)題。

印度政府確實(shí)在昨晚凌晨對(duì)黑客的推特做出了詳細(xì)的回應(yīng)。但奧爾德森仍在等待政府出手修復(fù)，用他的話來(lái)說(shuō)，印度政府的回應(yīng)基本上是“（這里）沒(méi)什么問(wèn)題啊”。換句話說(shuō)，按照印度政府的說(shuō)法，Aarogya Setu一切正常。

Aarogya Setu的制作者回應(yīng)稱：“這位黑客沒(méi)有證明用戶的個(gè)人信息處于危險(xiǎn)之中。我們一直在測(cè)試和升級(jí)該系統(tǒng)。Aarogya Setu團(tuán)隊(duì)向所有人保證，沒(méi)有發(fā)現(xiàn)任何數(shù)據(jù)或安全漏洞?！?/p>

奧爾德森已經(jīng)在推特上宣布，若這個(gè)問(wèn)題得不到修復(fù)，他將于今天公布更多信息。

與此同時(shí)，奧爾德森不是唯一一個(gè)在隱私方面向Aarogya Setu提出警告的人。位于新德里的軟件自由法律中心（Software Freedom Law Centre）聲稱，這個(gè)應(yīng)用程序會(huì)收集如性別和旅行記錄等敏感的用戶數(shù)據(jù)?；ヂ?lián)網(wǎng)自由基金會(huì)(IFF)也宣稱Aarogya Setu缺乏透明度。

這類問(wèn)題特別嚴(yán)重，需要深入研究，因?yàn)榧词笰arogya Setu看起來(lái)是一個(gè)“自愿安裝”的應(yīng)用程序，但它每天都在變得越來(lái)越“強(qiáng)制”。按照印度警方的最新要求，在諾伊達(dá)和大諾伊達(dá)這些地方如果沒(méi)有在手機(jī)上安裝這個(gè)程序，甚至?xí)媾R處罰。

印度政府還要求公共和私營(yíng)部門雇員把它安裝在智能手機(jī)上。印度內(nèi)政部最近的一項(xiàng)指令要求：“所有員工都必須使用Aarogya Setu應(yīng)用程序，包括私人部門和公共部門的員工。各機(jī)構(gòu)負(fù)責(zé)人有責(zé)任確保該應(yīng)用程序在員工中的覆蓋率達(dá)到100%。”所以可以說(shuō)，Aarogya Setu已經(jīng)是印度中央政府雇員以及居住在隔離區(qū)居民的必裝軟件。