حکومت کی بنائی گئی ‘کورونا ایپ’ میں سکیورٹی خامیوں کا انکشاف
حکومت پاکستان نے کورونا وائرس کی وباء سے متعلق لوگوں میں آگاہی پھیلانے، وباء سے متعلق اعداد و شمار جاری کرنے اور وباء سے متعلق دیگر معلومات تک عام افراد کی رسائی کےلیے خصوصی ایپلی کیشن (ایپ) متعارف کرائی تھی۔
حکومت نے جہاں کورونا سے متعلق ویب سائٹ متعارف کرائی تھی، وہیں (Covid-19 Gov PK) نامی موبائل ایپلی کیشن بھی متعارف کرائی گئی تھی۔ اس ایپ کو استعمال کرنے والے صارفین کو ایپ پہلی بار درخواست کرتی ہے کہ وہ اپنے 30 سے 300 میٹرز کے درمیان تک رہنے والے کورونا کے مریضوں سے باخبر رہنے کے لیے ایپ کو ڈیٹا تک رسائی دیں۔
ساتھ ہی ایپلی کیشن کورونا کے مریض کو بھی یہ سہولت فراہم کرتی ہے کہ وہ اپنی لوکیشن کو نمایاں کرے تاکہ دوسرے لوگ ان سے باخبر رہ سکیں۔ اسی طرح اس ایپ میں دیگر بھی کئی فیچرز ہیں تاہم ایپلی کیشن سکیورٹی پر کام کرنے والے ایک فرانسیسی سکیورٹی ریسرچر نے دعویٰ کیا ہے کہ حکومت پاکستان کی جانب سے بنائی گئی ایپ میں متعدد سکیورٹی خامیاں ہیں۔
1/ Yesterday night, I analysed "COVID-19 Gov PK", the official #Covid19 mobile app made by the Pakistani government. Hardcoded passwords, insecure connections, privacy issues, … nothing is ok with this app.
Want to see this horror? Follow me ⬇️ pic.twitter.com/cpdf5ezoFM
— Baptiste Robert (@fs0c131y) June 9, 2020
Him: All our APIs communicate using HTTPS
Me: Look at the 1st request made by the app bro! Just look pic.twitter.com/qpg9sMO8fU— Baptiste Robert (@fs0c131y) June 9, 2020
فرانس کے سکیورٹی ریسرچر بیپٹسٹی رابرٹ نے اپنے ٹوئٹر پر سلسلہ وار ٹوئٹس میں حکومت پاکستان کی ‘کورونا ایپ’ کی سکیورٹی خامیوں کی نشاندہی کی۔ غیر ملکی ریسرچر کا دعویٰ تھا کہ ‘کورونا ایپ’ کو محفوظ بنانے کےلیے مناسب سکیورٹی انتظامات نہیں کیے گئے، مذکورہ ایپ نان انکریپٹڈ پاس ورڈز اور ٹیکٹس کے تحت کام نہیں کرتی جس وجہ سے اس میں متعدد سکیورٹی خامیاں ہیں۔ فرانسیسی سائبر سکیورٹی ریسرچر کے مطابق سکیورٹی خامیوں کی وجہ سے کوئی بھی ہیکرز آسانی سے صارفین کے پاس ورڈز اور ڈیٹا تک رسائی حاصل کر سکتا ہے۔ انہوں نے وضاحت کی کہ موبائل ایپلی کیشن کا ڈیٹا اور پاسورڈز سرور سے منسلک ہے اور اس کے سرور میں سکیورٹی خامیاں موجود ہیں، کوئی بھی ہیکرز پہلے سرور تک رسائی حاصل کرکے وہاں سے کسی بھی صارف کا پاس ورڈ اٹھاکر صارفین کے ڈیٹا تک رسائی حاصل کر سکتا ہے۔
Him: It’s not a password, it’s a keyword
Me: Dude! Respect yourself, it’s literally written password! pic.twitter.com/B11bM1iCDe— Baptiste Robert (@fs0c131y) June 9, 2020
فرانسیسی سکیورٹی ماہر نے اپنے ٹوئٹس میں کورونا ایپ میں متعدد سکیورٹی خامیوں کی نشاندہی کی اور دعویٰ کیا کہ ہیکرز اس ایپ استعمال کرنے والے صارفین کے ڈیٹا تک رسائی حاصل کرنے میں کامیاب ہو سکتے ہیں۔ فرانسیسی سکیورٹی ریسرچر کی جانب سے ایپلی کیشن میں سکیورٹی خامیوں کی نشاندہی کے بعد حکومت نے ان دعوؤں کو مسترد کردیا۔
Response to a lot of interest shown towards COVID-19 App operation.
Yours truly!@NationalITBoard @MoitOfficial pic.twitter.com/zQW7dcsisU— Shabahat Ali Shah (@ShabahatAShah) June 9, 2020
ایپلی کیشن بنانے والے حکومتی ادارے نیشنل انفارمیشن ٹیکنالوجی بورڈ (این آئی ٹی بی) کے چیف ایگزیکٹو افسر (سی ای او) شباہت علی شاہ نے ایک بیان میں فرانسیسی ریسرچر کے دعوؤں کو مسترد کرتے ہوئے ایپ کو بالکل محفوظ قرار دیا۔ انہوں نے جاری کیے گئے وضاحتی بیان میں لکھا کہ مذکورہ ایپ کورونا سے متاثرہ شخص کی نشاندہی نہیں کرتی بلکہ اس کی قریبی جگہ کی نشاندہی کرتی ہے اور یہ فیچر رضاکارانہ طور پر خود کو کورونا کا مریض قرار دینے والے افراد کی اجازت کے بعد کام کرتا ہے۔ انہوں نے پاس ورڈز کے حوالے سے بھی فرانسیسی ریسرچر کے خدشات مسترد کرتے ہوئے کہا کہ موبائل ایپ کے سکیورٹی فیچرز عالمی معیار کے مطابق رکھے گئے ہیں۔
انہوں نے لکھا کہ موبائل ایپ نے صارفین کے ریکارڈ جمع کرنے کے حوالے سے اخلاقی، معاشرتی، ہم آہنگی اور رازداری کے اقدار کو سامنے رکھا ہے۔ شباہت علی شاہ نے اعتراف کیا کہ موبائل ایپ میں سکیورٹی بہتری کی گنجائش موجود ہے اور حکومت ہر اصلاحی تنقید کا خیر مقدم کرے گی، ساتھ ہی انہوں نے ایپلی کیشن کے آڈٹ سے متعلق رپورٹ جاری کرنے کا اعلان بھی کیا۔
فرانسیسی ریسرچر کے دعوؤں اور حکومت کی جانب سے ان دعوؤں کو مسترد کیے جانےکے بعد ایپلی کیشن سکیورٹی پر نظر رکھنے والے خود مختار اداروں نے بھی ایپ میں سکیورٹی خامیوں کی نشاندہی کی۔ سوئٹزرلینڈ کے ایپلی کیشن سکیورٹی ادارے امیونی ویب کے مطابق حکومت کی کورونا ایپ میں نان انکریپٹڈ ڈیٹا کا استعمال کیا جاتا ہے، جس سے کوئی بھی ہیکر صارفین کے اکاؤنٹ کو ہیک کر سکتا ہے۔
پاکستانی ادارے بولو بھی کی خدیجہ شاہ کا بھی کہنا تھا کہ ایپ کا جائزہ لینے سے پتہ چلتا ہے کہ صارفین کی رازداری اور پرائیویسی زیادہ اہم نہیں۔ کورونا ایپ میں سکیورٹی خامیوں کی نشاندہی کے بعد ڈیجیٹل رائٹس فاؤنڈیشن نامی تنظیم نے حکومت سے ایپ سے متعلق معلومات اور پرائیویسی پالیسی شیئر کرنے کا مطالبہ کیا ہے۔
