C0050
دعویٰ
“COVIDSafe ایپ کی پرائیویسی پالیسی میں یہ ذکر نہیں کیا گیا کہ فون کے ماڈل اور ڈیوائس کے نام (مثلاً 'Mary's iPhone') کی معلومات بلوٹوتھ پر براڈکاسٹ ہوتی ہیں۔ اس کے استحصال کی ایک مثال یہ ہے کہ گھریلو تشدد کرنے والا جان سکتا ہے کہ متاثرہ شخص گھر پر ہے اور اس کے گھر والوں کی موجودگی نہیں ہے، بغیر عمارت میں قدم رکھے۔”
اصل ماخذ: Matthew Davis
تجزیہ کیا گیا: 29 Jan 2026
اصل ذرائع
✅ حقائق کی تصدیق
مرکزی دعویٰ میں متعدد تکنیکی اور حقائق پر مبنی عناصر ہیں جن کی احتیاط سے تصدیق درکار ہے:
The core claim contains multiple technical and factual elements that require careful verification:
### CVE دستاویزات اصل میں کیا دکھاتی ہیں ### What the CVE Documentation Actually Shows
COVIDSafe (Android v1.0.17 اور اس سے قبل) میں بلوٹوتھ کا ایک حقیقی نقص موجود ہے، جسے **CVE-2020-12860** اور **CVE-2020-12856** کے طور پر دستاویز کیا گیا ہے [1][2]۔ تاہم، دعویٰ کی طرف سے اس بات کی نشاندہی کہ کون سی معلومات ظاہر ہوتی ہیں، جزوی طور پر درست ہے لیکن اہم سیاق و سباق کی ضرورت ہے۔ CVE-2020-12860 تکنیکی دستاویزات کے مطابق، COVIDSafe v1.0.17 تک "ایک دور دراز حملہ آور کو فون کے نام اور ماڈل کی معلومات تک رسائی کی اجازت دیتا ہے کیونکہ ایک BLE ڈیوائس کے چار کردار ہو سکتے ہیں اور COVIDSafe ان سب کا استعمال کرتا ہے" [1]۔ اس سے "ایک ڈیوائس کی دوبارہ شناخت اور ممکنہ طور پر مالک کے نام کی شناخت" ممکن ہوتی ہے [1]۔ ایک علیحدہ کمزوری، CVE-2020-12856، جسے محققین Jim Mussared اور Alwen Tiu نے دریافت کیا، ایک "خاموش جوڑی کا مسئلہ" بیان کرتی ہے جہاں "جوڑی کے عمل میں متاثرہ فون کی مستقل شناخت کنندگان کا تبادلہ ہوتا ہے: فون میں بلوٹوتھ ڈیوائس کی شناختی ایڈریس اور ایک کرپٹوگرافک کلید جسے Identity Resolving Key (IRK) کہتے ہیں" [3]۔ دونوں میں سے کوئی بھی شناخت کنندہ "فون کی طویل مدتی نگرانی" کے لیے استعمال ہو سکتا ہے [3]۔ There IS a genuine Bluetooth vulnerability in COVIDSafe (Android v1.0.17 and earlier), documented as **CVE-2020-12860** and **CVE-2020-12856** [1][2].
### ڈیوائس نام کی براڈکاسٹنگ - وضاحت درکار However, the claim's characterization of what information is exposed is partially accurate but requires important context.
ایک اہم تفصیل: سیکیورٹی محقق Matthew Rocklin (@matthewrdev) کے ٹویٹر تھریڈ کے مطابق، "ایپ ڈیوائس کا نام براڈکاسٹ نہیں کرتی" ایپ کے معمول کے عمل میں [4]۔ بلکہ، "جب کوئی دوسرا فون آپ کو ڈیٹیکٹ کرتا ہے، تو آپ کو بلوٹوتھ ایڈریس کے ذریعے شناخت کیا جاتا ہے نہ کہ ڈیوائس کے نام" [4]۔ تاہم، CVE-2020-12860 کمزوری حملہ آورز کو BLE کردار کے غلط استعمال کے ذریعے فون ماڈل اور ڈیوائس کے نام کی معلومات حاصل کرنے کی اجازت دیتی ہے، یعنی ڈیوائس کا نام حقیقت میں اس کمزوری کے استحصال کے ذریعے قابل رسائی ہے، حالانکہ عام عمل میں براڈکاسٹ نہیں ہوتا [1][2]۔ According to the CVE-2020-12860 technical documentation, COVIDSafe through v1.0.17 "allows a remote attacker to access phone name and model information because a BLE device can have four roles and COVIDSafe uses all of them" [1].
### پرائیویسی پالیسی کا انکشاف This allows for "re-identification of a device, and potentially identification of the owner's name" [1].
پرائیویسی پالیسی میں اس کے ذکر نہ کرنے کے بارے میں: QUT کی COVIDSafe نفاذ پر تعلیمی تحقیق میں پتہ چلا کہ حکومت نے بلوٹوتھ ڈیٹا اِکٹھا کرنے پر مرکوز Privacy Impact Assessment فراہم کی [5]۔ تاہم، BLE کمزوریوں کے ذریعے کون سی معلومات حاصل ہو سکتی ہیں، صارفین کے سامنے آنے والی پرائیویسی پالیسی دستاویزات میں واضح طور پر تفصیل نہیں دی گئی ہو سکتی [5]۔ پرائیویسی پالیسی نے نوٹ کیا کہ "ایک بلوٹوتھ اسکین صارف کی مقام کی معلومات اکٹھی کرنے کے لیے استعمال ہو سکتا ہے" [6]، لیکن مخصوص ڈیوائس نام/ماڈل نکالنے کی کمزوری کی تفصیلات صارفین کے سامنے نہیں ہو سکتی [5][6]۔ A separate vulnerability, CVE-2020-12856, discovered by researchers Jim Mussared and Alwen Tiu, describes a "silent pairing issue" where "the bonding process involves exchanges of permanent identifiers of the victim phone: the identity address of the bluetooth device in the phone and a cryptographic key called Identity Resolving Key (IRK)" [3].
غائب سیاق و سباق
### ٹائم لائن اور پیچ کی حیثیت
### Timeline and Patch Status
یہ کمزوری 5 مئی 2020 کو DTA (Department of Home Affairs) کو رپورٹ کی گئی، اور COVIDSafe (Android) v1.0.18 میں **ٹھیک کر دی گئی** [3]۔ ایپ 26 اپریل 2020 کو نصب کی گئی، یعنی یہ کمزوری تقریباً 3 ہفتوں تک موجود رہی جب تک پیچ دستیاب نہ ہوئے [1][3]۔ دریافت کے بعد فوری طور پر پیچ لاگو کی گئی [3]۔ The vulnerability was reported to DTA (Department of Home Affairs) on May 5, 2020, and **was fixed in COVIDSafe (Android) v1.0.18** [3].
### گھریلو تشدد کا استحصال - نظریاتی بمقابلہ ثابت شدہ The app was deployed April 26, 2020, meaning this vulnerability existed for approximately 3 weeks before patches were available [1][3].
اگرچہ دعویٰ ایک ایسے منظرنامے کو پیش کرتا ہے جہاں "ایک گھریلو تشدد کرنے والا جان سکتا ہے کہ متاثرہ شخص گھر پر ہے اور اس کے گھر والوں کی موجودگی نہیں ہے"، یہ ایک **نظریاتی کمزوری لگتی ہے بجائے اصل استحصال کی دستاویزات کے** [1][3]۔ CVE دستاویزات BLE شناخت کنندہ نکالنے کے ذریعے "طویل مدتی نگرانی" کی تکنیکی صلاحیت پر تبادلہ کرتی ہیں [3]، لیکن شائع شدہ کمزوری کے انکشافات، تعلیمی ادب، یا میڈیا رپورٹنگ میں کوئی ثبوت نہیں ہے کہ یہ کمزوری گھریلو تشدد کی نگرانی کے لیے استعمال ہوئی [2][3]۔ یہ ایک **قانونی سیکیورٹی تشویش** ہے جسے محققین نے شناخت کیا اور ذمہ داری سے افشا کیا، لیکن اسے دستاویز شدہ استحصال کے طریقہ کار کے طور پر پیش کرنا ثبوت کے بغیر ایک اختراع ہے جو موجودہ ثبوت سے زیادہ ہے۔ The fix was implemented promptly after discovery [3].
### "براڈکاسٹ" کی تکنیکی درستگی ### Domestic Violence Exploitation - Theoretical vs Proven
دعویٰ "براڈکاسٹ" کا لفظ استعمال کرتا ہے جو تکنیکی طور پر غیر درست ہے۔ ڈیوائس کے نام COVIDSafe کے معمول کے عمل میں مسلسل براڈکاسٹ نہیں ہوتے۔ بلکہ، وہ BLE تکنیکی کمزوریوں (کردار کے غلط استعمال) کے ذریعے حملہ آوروں کے سامنے آتے ہیں جو ڈیوائس کے بلوٹوتھ اسٹیک سے یہ معلومات نکال سکتے ہیں [1][2]۔ یہ ایک معنی خیز فرق ہے کیونکہ یہ خطرہ ماڈلنگ کو متاثر کرتا ہے - ایک حملہ آور کو صرف بلوٹوتھ رینج میں ہونے سے زیادہ فعال طور پر تکنیکی استحصال کرنا ہوگا [3]۔ While the claim presents a scenario where "a domestic violence abuser can tell whether the victim is at home and their house-mates are not," this appears to be a **theoretical vulnerability rather than documented evidence of actual exploitation** [1][3].
ماخذ کی ساکھ کا جائزہ
اصلی ذریعہ ایک **Google Doc** ہے جس میں کوئی شناخت شدہ مصنف، ادارہ جاتی وابستگی، یا دعویٰ فائل میں درج اشاعت کے سند نہیں [7]۔ مکمل دستاویز دیکھنے تک رسائی کے بغیر، اس کی ساکھ کا اندازہ لگانا محدود ہے۔ تاہم، دعویٰ قانونی سیکیورٹی کمزوریوں (CVE-2020-12860 اور CVE-2020-12856) کا حوالہ دیتا ہے جو سرکاری ذرائع میں اچھی طرح سے دستاویز ہیں۔ بنیادی CVE انکشافات اور تعلیمی تحقیق قابل اعتماد ذرائع سے ہیں: - **CVE-2020-12860**: MITRE/NVD (National Vulnerability Database) نے شائع کیا، سرکاری کمزوری کی نگرانی [1] - **CVE-2020-12856**: Jim Mussared (George Robotics) اور Alwen Tiu (ANU) نے دریافت اور افشا کی، GitHub پر تکنیکی دستاویزات کے ساتھ شائع [3] - **QUT Academic Research**: Queensland University of Technology سے COVIDSafe نفاذ پر نظرثانی شدہ مضمون [5] یہ ذرائع قابل اعتماد تکنیکی انکشافات ہیں، نہ کہ جانبدار ذرائع۔
The original source is a **Google Doc** with no identified author, institutional affiliation, or publication credentials listed in the claim file [7].
⚖️
Labor موازنہ
**کیا لیبر کے پاس مساوی ٹیکنالوجی پرائیویسی ناکامیاں تھیں؟** تلاش کی گئی: "Labor government technology privacy failures contact tracing" لیبر کی اس مدت میں رابطہ تلاش کرنے والی ٹیکنالوجی میں شرکت محدود تھی، کیونکہ کولیشن حکومت (2013-2022) نے اقتدار میں رہتے ہوئے COVIDSafe تیار کیا۔ لیبر اپوزیشن میں تھا اور متبادل رابطہ تلاش کرنے والی ایپ تیار نہیں کی [8]۔ تاہم، دونوں جماعتوں میں وسیع ٹیکنالوجی پرائیویسی خدشات موجود تھے: - لیبر اور کولیشن دونوں حکومتوں کو ڈیجیٹل حکومتی خدمات میں ناکافی پرائیویسی تحفظات پر تنقید کا سامنا کرنا پڑا [8] - آسٹریلیا میں پرائیویسی اصلاحات پارٹی سے بالاتر معاملات ہیں، جو حکومت کے ڈیٹا ہینڈلنگ طریقہ کار کے بارے میں خدشات ہیں، خاص طور پر ایک جماعت کے لیے نہیں [8] - COVIDSafe کے لیے خصوصی قانون سازی کی ضرورت بننے والی وسیع تر پرائیویسی فریم ورک کے مسائل آسٹریلیا کے پراکندہ پرائیویسی قانون کے نظام میں نظامتی ہیں، کولیشن نفاذ کے لیے منفرد نہیں [5] اختصاراً، کوئی براہ راست لیبر مساوی نہیں ہے کیونکہ لیبر COVID-19 وبا کے دوران حکومت میں نہیں تھا اور رابطہ تلاش کرنے والی ایپس تیار نہیں کی۔
**Did Labor have equivalent technology privacy failures?**
Search conducted: "Labor government technology privacy failures contact tracing"
Labor's involvement with contact tracing technology was limited during this period, as the Coalition government held power (2013-2022) and developed COVIDSafe.
🌐
متوازن نقطہ نظر
### قانونی تکنیکی کمزوری
### The Legitimate Technical Vulnerability
یہ دعویٰ **درست ہے کہ COVIDSafe میں ایک حقیقی تکنیکی کمزوری موجود تھی** جو نظریاتی طور پر ڈیوائس ماڈل اور نام کی معلومات ظاہر کر سکتی تھی، اور یہ معلومات نظریاتی طور پر کسی کی موجودگی/مقام کی نگرانی کے لیے استعمال ہو سکتی تھی [1][3]۔ یہ کمزوری حقیقی تھی، قابل اعتماد سیکیورٹی محققین نے دستاویز کی، اور ذمہ داری سے افشا کی گئی [3]۔ The claim is **correct that a genuine technical vulnerability existed** in COVIDSafe that could theoretically expose device model and name information, and that this information could potentially be used to track someone's location/presence [1][3].
### حکومت کا ردعمل The vulnerability was real, documented by credible security researchers, and responsibly disclosed [3].
مثبت طور پر، آسٹریلوی حکومت نے انکشاف پر کارروائی کرتے ہوئے تقریباً 3 ہفتوں میں پیچ (v1.0.18) جاری کیا [3]۔ ایپ میں Singapore کی TraceTogether کے مقابلے میں اضافی پرائیویسی تحفظات بھی شامل تھے، بشمول غیر مجاز ڈیٹا استعمال کے لیے مجرمانہ سزائیں [5]۔ ### The Government's Response
### عملی استحصال کے بارے میں مبالغہ آمیز دعوے Positively, the Australian Government acted on the disclosure by releasing a patch (v1.0.18) within approximately 3 weeks of being notified [3].
"ایک تکنیکی کمزوری موجود ہے جو نظریاتی طور پر ڈیوائس کی معلومات ظاہر کر سکتی ہے" سے "گھریلو تشدد کرنے والے اس کا استحصال کر سکتے ہیں" تک کا قدم ثبوت کے بغیر ہے۔ اگرچہ نظریاتی خطرہ سیکیورٹی ایڈوائزریز کے لیے درست ہے، لیکن ثبوت کے بغیر دستاویز شدہ استحصال کا دعویٰ کرنا گمراہ کن ہے [1][3][7]۔ The app also included additional privacy protections compared to comparable apps like Singapore's TraceTogether, including criminal penalties for unauthorized data use [5].
### پرائیویسی پالیسی اور انکشاف کا مسئلہ ### Overstated Claims About Practical Exploitation
پرائیویسی پالیسی کے انکشاف کے بارے میں دعویٰ جزوی طور پر درست ہے۔ حکومت نے BLE کمزوری خطرات عام صارفین کو واضح طور پر تفصیل نہیں دی، حالانکہ پرائیویسی پروفیشنلز ان خطرات کو سیکیورٹی خطرہ ماڈلنگ کا حصہ سمجھتے [5]۔ پرائیویسی پالیسی نے بلوٹوتھ ڈیٹا اِکٹھا کرنے کا انکشاف کیا، لیکن ممکنہ BLE حملوں کی تفصیلات صارفین کے سامنے نہیں ہو سکتی [5][6]۔ The leap from "a technical vulnerability exists that theoretically could expose device information" to "domestic violence abusers can exploit this" is not supported by evidence.
### اصل اثرات کا جائزہ While the theoretical risk is valid for security advisories, claiming documented exploitation without evidence is misleading [1][3][7].
اسے مدنظر رکھتے ہوئے: - کمزوری کو نسبتاً جلدی پیچ کیا گیا (تقریباً ~3 ہفتوں میں) [3] - ایپ رضاکارانہ رہی اور اس کی شرح کم رہی (کبھی بھی حکومت کے اہداف تک نہ پہنچ سکی) [5] - استحصال عام نگرانی سے زیادہ تکنیکی مہارت کی ضرورت ہوگی [3] - گھریلو تشدد کے لیے استحصال کے کوئی دستاویز شدہ معاملات موجود نہیں [1][3] **اصل عملی نقصان دعویٰ کی طرف سے زور دیا گیا سنگین نقصان کے مقابلے میں محدود** لگتا ہے۔ ### Privacy Policy and Disclosure Issue
جزوی طور پر سچ
5.5
/ 10
یہ دعویٰ درست ہے کہ: (1) ایک حقیقی تکنیکی کمزوری موجود تھی جو ڈیوائس ماڈل/نام نکالنے کی اجازت دیتی تھی، اور (2) نظریاتی طور پر یہ معلومات موجودگی کی نگرانی کے لیے استعمال ہو سکتی تھی۔ تاہم، دعویٰ گمراہ کن ہے کہ: (1) نظریاتی کمزوری کو گھریلو تشدد کے لیے دستاویز شدہ استحصال کے طور پر پیش کرتا ہے، (2) "براڈکاسٹ" کا غیر درست استعمال کرتا ہے، اور (3) یہ حقیقت چھپاتا ہے کہ کمزوری کو جلدی پیچ کیا گیا اور ذمہ داری سے افشا کیا گیا۔ دعویٰ بدترین صورت حال کی تکنیکی صلاحیت کو ایسے پیش کرتا ہے جیسے کہ یہ دستاویز شدہ خطرہ منظرنامہ ہو۔
The claim is correct that: (1) a genuine technical vulnerability existed allowing device model/name extraction, and (2) this information could theoretically be used to track presence.
حتمی سکور
5.5
/ 10
جزوی طور پر سچ
یہ دعویٰ درست ہے کہ: (1) ایک حقیقی تکنیکی کمزوری موجود تھی جو ڈیوائس ماڈل/نام نکالنے کی اجازت دیتی تھی، اور (2) نظریاتی طور پر یہ معلومات موجودگی کی نگرانی کے لیے استعمال ہو سکتی تھی۔ تاہم، دعویٰ گمراہ کن ہے کہ: (1) نظریاتی کمزوری کو گھریلو تشدد کے لیے دستاویز شدہ استحصال کے طور پر پیش کرتا ہے، (2) "براڈکاسٹ" کا غیر درست استعمال کرتا ہے، اور (3) یہ حقیقت چھپاتا ہے کہ کمزوری کو جلدی پیچ کیا گیا اور ذمہ داری سے افشا کیا گیا۔ دعویٰ بدترین صورت حال کی تکنیکی صلاحیت کو ایسے پیش کرتا ہے جیسے کہ یہ دستاویز شدہ خطرہ منظرنامہ ہو۔
The claim is correct that: (1) a genuine technical vulnerability existed allowing device model/name extraction, and (2) this information could theoretically be used to track presence.
📚 ذرائع اور حوالہ جات (8)
-
1
cvedetails.com
Cvedetails
-
2
nvd.nist.gov
CVE-2020-12860
-
3
github.com
A bluetooth-related vulnerability in some contact tracing apps - alwentiu/COVIDSafe-CVE-2020-12856
GitHub -
4
threadreaderapp.com
Thread by @matthewrdev: The #covidsafe app is now available in Australia However, it's a shame that they have decided not to release the sourr full transparency. Luckily, I'm a curious chap and also a professional mobile developer. So, I've downloaded an…
Threadreaderapp -
5
lthj.qut.edu.au
Lthj Qut Edu
-
6
reddit.com
The heart of the internet -
7
docs.google.com
Privacy issues discovered in the BLE implementation of the COVIDSafe Android app Jim Mussared jim.mussared@gmail.com https://twitter.com/jim_mussared 28/04/2020 Last updated: 15/05/2020 Status: Public. Updates ongoing. Privacy issues discovered in the BLE implementation of the COVIDSafe Andr...
Google Docs -
8
ashurst.com
Australia's first tranche of privacy reforms – a deep dive and why they matter
Ashurst
درجہ بندی پیمانے کا طریقہ کار
1-3: غلط
حقائق کے لحاظ سے غلط یا بدنیتی پر مبنی من گھڑت۔
4-6: جزوی
کچھ سچائی لیکن سیاق و سباق غائب یا مسخ شدہ ہے۔
7-9: زیادہ تر سچ
معمولی تکنیکی تفصیلات یا الفاظ کے مسائل۔
10: درست
مکمل طور پر تصدیق شدہ اور سیاق و سباق کے لحاظ سے منصفانہ۔
طریقہ کار: درجہ بندیاں سرکاری حکومتی ریکارڈز، آزاد حقائق کی جانچ کرنے والی تنظیمات اور بنیادی ماخذ دستاویزات کے باہمی حوالے سے طے کی جاتی ہیں۔