黑客埃利奥特奥尔德森解释AarogyaSetu应用程序的隐私缺陷

导读 道德黑客埃利奥特·奥尔德森(Elliot Alderson)首先在接触者追踪应用程序Aarogya Setu中发现了隐私问题,他在博客中解释了安全漏洞。他进一步表示,根据这些缺陷,他可以推断出在PMO

道德黑客埃利奥特·奥尔德森(Elliot Alderson)首先在接触者追踪应用程序Aarogya Setu中发现了隐私问题,他在博客中解释了安全漏洞。他进一步表示,根据这些缺陷,他可以推断出在PMO的五个人和在德里的印度陆军总部的两个人感觉不舒服。他解释说,Aarogya Setu应用程序不应该透露电晕患者的位置,而只是告诉用户他周围有病例。

周三,奥尔德森发表了一篇博客,阐述了他认为该应用程序存在安全缺陷的原因。他指出了两个主要的担忧,即任何人都可以访问内部数据库,任何人都可以在印度的任何地方看到谁生病了,这侵犯了隐私。

印度实时更新:总病例超过50,000例;莫迪总理发表了重要讲话,赞扬了19位勇士

他在自己的博客中写道:“只要点击一次,攻击者就可以打开任何应用程序的内部文件,包括一款名为fight-covid-db的应用程序使用的本地数据库。”他说,他花了不到两个小时就找出了漏洞。他发现一个名为WebViewActivity的活动异常,经过研究发现该活动根本没有主机验证。他说,然后他试图打开一个内部文件,这个文件很容易打开。他声称,这个漏洞是由开发商“悄悄地修复”的。

他说的第二个缺陷是隐私问题。奥尔德森说,任何人都可以操纵后端位置和距离。在app上,用户可以扫描半径为500米、1公里、2公里、5公里或10公里的区域。这名法国黑客说:“我做的第一件事就是修改位置,看看我是否能在印度的任何地方获得信息。第二件事是修改半径100公里,看看我和半径能够获得信息在应用程序不可用。正如你所看到的在前面的截图,我把我的位置去新德里,设置半径为100公里,它成功了!”

我写了一篇文章来描述我向@SetuAarogya报告的问题。我希望它能让人们了解情况,以及为什么这是一个重要的问题。希望大家喜欢,欢迎大家的反馈!

别忘了:入侵地球!🤘https://t.co/ealAKdCZ34https: / / t.co / QWm0XVgi3B

“多亏了这个终端,攻击者可以知道谁在印度的任何地方被感染,在他选择的地区。例如,我可以知道我的邻居是否生病了。听起来像是我的隐私问题,”他补充道。

他解释说,根据这些缺陷,他可以推断出在PMO办公室有5人感到不舒服,在印度陆军总部有2人,在印度议会有1人感染,在内政部有3人。

也读:Aarogya Setu应用程序回应黑客埃利奥特奥尔德森的隐私问题;说没有数据有风险

奥尔德森表示,该应用程序不应该告诉你冠状动脉患者的位置。“第一个问题是安全问题,第二个是隐私问题。如果你不关心隐私,这对你来说很好,但这仍然是一个隐私问题,”他说。

更多的澄清:

-不,应用程序的目的是不知道病人的位置

-我发现的第一个问题是安全问题,第二个问题是隐私问题。

-如果你不关心隐私,对你来说很好,但它仍然是一个隐私问题。

“我花时间写这篇文章有两个原因:我想要透明。你有所有的信息,甚至技术信息。共享是关怀。也许它会给其他虫子赏金猎人和安全爱好者提供一些灵感。”

5月5日,奥尔德森在社交媒体上告诉Aarogya Setu应用程序,他们的平台存在安全漏洞,将9000万印度人的数据置于危险之中。这条推文发布后不久,安吉娅·塞图(Aarogya Setu)就在Twitter上回应了对隐私缺陷的批评,并表示没有用户的数据处于危险之中。

BT BUZZ: MHA命令让Aarogya Setu在法律上变得软弱