道德黑客埃利奥特·奥尔德森(Elliot Alderson)首先在接触者追踪应用程序Aarogya Setu中发现了隐私问题，他在博客中解释了安全漏洞。他进一步表示，根据这些缺陷，他可以推断出在PMO的五个人和在德里的印度陆军总部的两个人感觉不舒服。他解释说，Aarogya Setu应用程序不应该透露电晕患者的位置，而只是告诉用户他周围有病例。

周三，奥尔德森发表了一篇博客，阐述了他认为该应用程序存在安全缺陷的原因。他指出了两个主要的担忧，即任何人都可以访问内部数据库，任何人都可以在印度的任何地方看到谁生病了，这侵犯了隐私。

印度实时更新:总病例超过50,000例;莫迪总理发表了重要讲话，赞扬了19位勇士

他在自己的博客中写道:“只要点击一次，攻击者就可以打开任何应用程序的内部文件，包括一款名为fight-covid-db的应用程序使用的本地数据库。”他说，他花了不到两个小时就找出了漏洞。他发现一个名为WebViewActivity的活动异常，经过研究发现该活动根本没有主机验证。他说，然后他试图打开一个内部文件，这个文件很容易打开。他声称，这个漏洞是由开发商“悄悄地修复”的。

他说的第二个缺陷是隐私问题。奥尔德森说，任何人都可以操纵后端位置和距离。在app上，用户可以扫描半径为500米、1公里、2公里、5公里或10公里的区域。这名法国黑客说:“我做的第一件事就是修改位置，看看我是否能在印度的任何地方获得信息。第二件事是修改半径100公里,看看我和半径能够获得信息在应用程序不可用。正如你所看到的在前面的截图,我把我的位置去新德里,设置半径为100公里,它成功了!”

我写了一篇文章来描述我向@SetuAarogya报告的问题。我希望它能让人们了解情况，以及为什么这是一个重要的问题。希望大家喜欢，欢迎大家的反馈!

别忘了:入侵地球!🤘https://t.co/ealAKdCZ34https: / / t.co / QWm0XVgi3B

“多亏了这个终端，攻击者可以知道谁在印度的任何地方被感染，在他选择的地区。例如，我可以知道我的邻居是否生病了。听起来像是我的隐私问题，”他补充道。

他解释说，根据这些缺陷，他可以推断出在PMO办公室有5人感到不舒服，在印度陆军总部有2人，在印度议会有1人感染，在内政部有3人。

也读:Aarogya Setu应用程序回应黑客埃利奥特奥尔德森的隐私问题;说没有数据有风险

奥尔德森表示，该应用程序不应该告诉你冠状动脉患者的位置。“第一个问题是安全问题，第二个是隐私问题。如果你不关心隐私，这对你来说很好，但这仍然是一个隐私问题，”他说。

更多的澄清:

-不，应用程序的目的是不知道病人的位置

-我发现的第一个问题是安全问题，第二个问题是隐私问题。

-如果你不关心隐私，对你来说很好，但它仍然是一个隐私问题。

“我花时间写这篇文章有两个原因:我想要透明。你有所有的信息，甚至技术信息。共享是关怀。也许它会给其他虫子赏金猎人和安全爱好者提供一些灵感。”

5月5日，奥尔德森在社交媒体上告诉Aarogya Setu应用程序，他们的平台存在安全漏洞，将9000万印度人的数据置于危险之中。这条推文发布后不久，安吉娅·塞图(Aarogya Setu)就在Twitter上回应了对隐私缺陷的批评，并表示没有用户的数据处于危险之中。

BT BUZZ: MHA命令让Aarogya Setu在法律上变得软弱