黑客埃利奧特奧爾德森解釋AarogyaSetu應(yīng)用程序的隱私缺陷

道德黑客埃利奧特·奧爾德森(Elliot Alderson)首先在接觸者追蹤應(yīng)用程序Aarogya Setu中發(fā)現(xiàn)了隱私問(wèn)題，他在博客中解釋了安全漏洞。他進(jìn)一步表示，根據(jù)這些缺陷，他可以推斷出在PMO的五個(gè)人和在德里的印度陸軍總部的兩個(gè)人感覺(jué)不舒服。他解釋說(shuō)，Aarogya Setu應(yīng)用程序不應(yīng)該透露電暈患者的位置，而只是告訴用戶他周圍有病例。

周三，奧爾德森發(fā)表了一篇博客，闡述了他認(rèn)為該應(yīng)用程序存在安全缺陷的原因。他指出了兩個(gè)主要的擔(dān)憂，即任何人都可以訪問(wèn)內(nèi)部數(shù)據(jù)庫(kù)，任何人都可以在印度的任何地方看到誰(shuí)生病了，這侵犯了隱私。

印度實(shí)時(shí)更新:總病例超過(guò)50,000例;莫迪總理發(fā)表了重要講話，贊揚(yáng)了19位勇士

他在自己的博客中寫道:“只要點(diǎn)擊一次，攻擊者就可以打開(kāi)任何應(yīng)用程序的內(nèi)部文件，包括一款名為fight-covid-db的應(yīng)用程序使用的本地?cái)?shù)據(jù)庫(kù)?！彼f(shuō)，他花了不到兩個(gè)小時(shí)就找出了漏洞。他發(fā)現(xiàn)一個(gè)名為WebViewActivity的活動(dòng)異常，經(jīng)過(guò)研究發(fā)現(xiàn)該活動(dòng)根本沒(méi)有主機(jī)驗(yàn)證。他說(shuō)，然后他試圖打開(kāi)一個(gè)內(nèi)部文件，這個(gè)文件很容易打開(kāi)。他聲稱，這個(gè)漏洞是由開(kāi)發(fā)商“悄悄地修復(fù)”的。

他說(shuō)的第二個(gè)缺陷是隱私問(wèn)題。奧爾德森說(shuō)，任何人都可以操縱后端位置和距離。在app上，用戶可以掃描半徑為500米、1公里、2公里、5公里或10公里的區(qū)域。這名法國(guó)黑客說(shuō):“我做的第一件事就是修改位置，看看我是否能在印度的任何地方獲得信息。第二件事是修改半徑100公里,看看我和半徑能夠獲得信息在應(yīng)用程序不可用。正如你所看到的在前面的截圖,我把我的位置去新德里,設(shè)置半徑為100公里,它成功了!”

我寫了一篇文章來(lái)描述我向@SetuAarogya報(bào)告的問(wèn)題。我希望它能讓人們了解情況，以及為什么這是一個(gè)重要的問(wèn)題。希望大家喜歡，歡迎大家的反饋!

別忘了:入侵地球!e?¤?https://t.co/ealAKdCZ34https: / / t.co / QWm0XVgi3B

“多虧了這個(gè)終端，攻擊者可以知道誰(shuí)在印度的任何地方被感染，在他選擇的地區(qū)。例如，我可以知道我的鄰居是否生病了。聽(tīng)起來(lái)像是我的隱私問(wèn)題，”他補(bǔ)充道。

他解釋說(shuō)，根據(jù)這些缺陷，他可以推斷出在PMO辦公室有5人感到不舒服，在印度陸軍總部有2人，在印度議會(huì)有1人感染，在內(nèi)政部有3人。

也讀:Aarogya Setu應(yīng)用程序回應(yīng)黑客埃利奧特奧爾德森的隱私問(wèn)題;說(shuō)沒(méi)有數(shù)據(jù)有風(fēng)險(xiǎn)

奧爾德森表示，該應(yīng)用程序不應(yīng)該告訴你冠狀動(dòng)脈患者的位置?！暗谝粋€(gè)問(wèn)題是安全問(wèn)題，第二個(gè)是隱私問(wèn)題。如果你不關(guān)心隱私，這對(duì)你來(lái)說(shuō)很好，但這仍然是一個(gè)隱私問(wèn)題，”他說(shuō)。

更多的澄清:

-不，應(yīng)用程序的目的是不知道病人的位置

-我發(fā)現(xiàn)的第一個(gè)問(wèn)題是安全問(wèn)題，第二個(gè)問(wèn)題是隱私問(wèn)題。

-如果你不關(guān)心隱私，對(duì)你來(lái)說(shuō)很好，但它仍然是一個(gè)隱私問(wèn)題。

“我花時(shí)間寫這篇文章有兩個(gè)原因:我想要透明。你有所有的信息，甚至技術(shù)信息。共享是關(guān)懷。也許它會(huì)給其他蟲(chóng)子賞金獵人和安全愛(ài)好者提供一些靈感?！?/p>

5月5日，奧爾德森在社交媒體上告訴Aarogya Setu應(yīng)用程序，他們的平臺(tái)存在安全漏洞，將9000萬(wàn)印度人的數(shù)據(jù)置于危險(xiǎn)之中。這條推文發(fā)布后不久，安吉婭·塞圖(Aarogya Setu)就在Twitter上回應(yīng)了對(duì)隱私缺陷的批評(píng)，并表示沒(méi)有用戶的數(shù)據(jù)處于危險(xiǎn)之中。

BT BUZZ: MHA命令讓Aarogya Setu在法律上變得軟弱