“白帽”黑客：印度政府的定位程序存漏洞，危及9000万人隐私

北京时间5月6日消息，一位化名为奥尔德森(Elliot Alderson)的法国黑客日前在Twitter上表示，其发现了印度政府“Aarogya Setu”新型冠状病毒追踪APP的安全问题，这可能会危及9000万印度人的隐私。作为一名有良心的黑客，奥尔德森已经将这个问题“标记”发送至印度计算机应急响应小组(CERT)和隶属于印度电子和信息技术部的国家信息中心(NIC)。奥尔德森早先还曝光了印度政府“mAadhar”安卓应用程序的问题。

周二，奥尔德森在Twitter上声称，他发现了Aarogya Setu应用程序的一个安全问题，并要求印度政府私下联系他，以便向当局详细披露。印度政府很快联系了这名黑客，了解相关情况。奥尔德森现在正在等待这一问题的解决方案，如果印度政府解决不了，那么按照“白帽”黑客的核心原则，他将公开披露这一问题。

印度政府确实在昨晚凌晨对黑客的推特做出了详细的回应。但奥尔德森仍在等待政府出手修复，用他的话来说，印度政府的回应基本上是“（这里）没什么问题啊”。换句话说，按照印度政府的说法，Aarogya Setu一切正常。

Aarogya Setu的制作者回应称：“这位黑客没有证明用户的个人信息处于危险之中。我们一直在测试和升级该系统。Aarogya Setu团队向所有人保证，没有发现任何数据或安全漏洞。”

奥尔德森已经在推特上宣布，若这个问题得不到修复，他将于今天公布更多信息。

与此同时，奥尔德森不是唯一一个在隐私方面向Aarogya Setu提出警告的人。位于新德里的软件自由法律中心（Software Freedom Law Centre）声称，这个应用程序会收集如性别和旅行记录等敏感的用户数据。互联网自由基金会(IFF)也宣称Aarogya Setu缺乏透明度。

这类问题特别严重，需要深入研究，因为即使Aarogya Setu看起来是一个“自愿安装”的应用程序，但它每天都在变得越来越“强制”。按照印度警方的最新要求，在诺伊达和大诺伊达这些地方如果没有在手机上安装这个程序，甚至会面临处罚。

印度政府还要求公共和私营部门雇员把它安装在智能手机上。印度内政部最近的一项指令要求：“所有员工都必须使用Aarogya Setu应用程序，包括私人部门和公共部门的员工。各机构负责人有责任确保该应用程序在员工中的覆盖率达到100%。”所以可以说，Aarogya Setu已经是印度中央政府雇员以及居住在隔离区居民的必装软件。