近日,印度政府在Apache License Version 2.0许可下开源了它的新冠肺炎病患接触者追踪应用Aarogya Setu,印度政府将该应用的源代码托管在GitHub,并宣布了一个漏洞赏金计划来检测任何安全问题。
Aarogya Setu,翻译为“健康之路” ,现在已下载超过1.14亿次。与世界上许多可比较的应用程序不同,Aarogya Setu跟踪用户的位置,其源代码(包括应用程序和后端)仍然是秘密。但是,这种立场无法阻止Android APK的部分反编译,从而导致一些漏洞报告。
类似绿码
目前仅公开了Android版本的源代码,iOS和KaiOS版本的源代码也会在未来几周内释出。
Aarogya Setu由印度在今年4月初发布,安装量在两个月内便超过1.14亿。印度电子信息技术部部长Ajay Prakash Sawhney表示,公开Aarogya Setu的源代码将可以让其他人检查漏洞,印度政府将提供最高1325美元的奖励给报告漏洞的人。
除印度政府外,为了获得民众的信任,其他一些国家也在网络上公开了接触者追踪应用的源代码,如英国、澳大利亚等。
https://github.com/nic-delhi/AarogyaSetu_Android
黑鸟刚测试了一下,发现该APP必须要开启定位,蓝牙以及允许数据共享。
此外必须使用手机号
进去之后可以看到印度各个地方的医务的电话
保守估计1亿的数据量,手机号&定位信息。
冲鸭。
发现漏洞之后直接向印度政府电子邮件地址发送漏洞报告,而不是使用像Bugcrowd或HackerOne这样的第三方漏洞赏金平台。它还要求开发人员提出代码改进建议并报告漏洞,最高奖金约为4,000美元。
关于赏金计划PDF
https://static.mygov.in/rest/s3fs-public/mygov_159050690151307401.pdf
你懂的
as-bugbounty@nic.in
目前,根据印度卫生部官方网站公布的最新数据,截至当地时间5月26日上午,印度新冠肺炎确诊病例已升至145380例,累计死亡病例4167例。在过去24小时内,印度新增确诊病例6535例,连续5天超过6000例,新增死亡病例146例。
此外,澳大利亚也开源了他们的病患跟踪应用代码,不过估计皿煮惯了没人用,星星都没印度的点的多。
https://github.com/AU-COVIDSafe
多喝热水