C0195
دعویٰ
“کووِڈ سیف ایپ (COVIDSafe App) کے انسٹال کرنے کے وقت سیکیورٹی کی بہترین طریقوں کو نظرانداز کیا، بگ باؤنٹی (Bug Bounty) پروگرام چلانے سے انکار کیا، اور سورس کوڈ (Source Code) کو بروقت شائع کرنے سے انکار کیا، حالانکہ ایسا کرنے کے وعدے کئے گئے تھے، جس کے نتیجے میں متعدد کمزوریوں کا انکشاف محققین کے ذریعے بہت دیر سے ہوا۔”
اصل ماخذ: Matthew Davis
اصل ذرائع
✅ حقائق کی تصدیق
کووِڈ سیف ایپ (COVIDSafe App) کے ساتھ آسٹریلوی حکومت کی سیکیورٹی کی بہترین طریقوں کو نظرانداز کرنے کے دعوے کو **بنیادی طور پر درست** قرار دیا جا سکتا ہے، حالانکہ اس کے لیے وقت اور سیاق و سباق سے متعلق اہم وضاحت درکار ہے۔ **کمزوریوں کے حوالے سے تاخیر شدہ جواب:** کووِڈ سیف کے 26 اپریل 2020 کو جاری ہونے کے چند گھنٹوں کے اندر، سیکیورٹی محقق جِم مسارڈ (Jim Mussared) نے اینڈرائیڈ ورژن میں متعدد رازداری کے مسائل دریافت کیے [1]۔ انہوں نے ان کمزوریوں کی تفصیلی رپورٹ تیار کی اور 27-28 اپریل کو صحت کے محکمے، ڈیجیٹل ٹرانسفارمیشن ایجنسی (DTA)، آسٹریلین سگنلز ڈائریکٹوریٹ (ASD) اور آسٹریلین سائبر سیکیورٹی سینٹر (ACSC) کو ای میل کی [1]۔ تاہم، مسارڈ کو صرف ایک لائن کا جواب 5 مئی کو ملیا، اور یہ بھی میڈیا کے سوالات کے بعد [1]۔ موازنے کے طور پر، مسارڈ نے تصدیق کی کہ وہ سنگاپور کی ٹیم (جنہوں نے ٹریس ٹو گیدھر (TraceTogether) ایپ تیار کی تھی، جس پر آسٹریلیا نے کووِڈ سیف کو ماڈل کیا تھا) سے چند گھنٹوں کے اندر رابطہ کر سکے تھے اور انہوں نے کچھ مسائل درست کر دیے تھے [1]۔ **کوئی باقاعدہ بگ باؤنٹی (Bug Bounty) پروگرام نہیں:** حکومت نے کووِڈ سیف کے لیے کوئی باقاعدہ بگ باؤنٹی پروگرام قائم نہیں کیا۔ مستند ذرائع میں حوالہ شدہ سائبر سیکیورٹی ماہرین کے مطابق، "بہترین طریقہ کار باقاعدہ انکشاف پروگرام اور بگ باؤنٹی پروگرام ہونا ہے، اور کمزوریوں کو درست کرنے کے عزم کا اظہار ہونا چاہیے" [1]۔ یہ بہترین طریقوں سے نمایاں انحراف ہے۔ موازنے کے طور پر، برطانوی حکومت نے اپنے NHS COVID-19 ایپ کے لیے زیادہ منظم کمزوری انکشاف کے عمل کو شامل کیا تھا [1]۔ **تاخیر شدہ سورس کوڈ (Source Code) اشاعت:** جبکہ آسٹریلیا نے آخرکار سورس کوڈ جاری کیا (ایپ کوڈ 28 اپریل 2020 کو شائع ہوا)، نمایاں تاخیر اور شفافیت کے مسائل تھے [1]۔ کرپٹوگرافر ڈاکٹر وینیسا ٹیگ (Dr.
The claim that the Australian government ignored security best practices with the COVIDSafe app is **substantially accurate**, though it requires important clarification regarding timing and context.
**Delayed Response to Vulnerabilities:** Within hours of COVIDSafe's release on April 26, 2020, security researcher Jim Mussared discovered multiple privacy issues in the Android version by 1:19am on April 27 [1].
Vanessa Teague) نے نوٹ کیا کہ "سنگاپور نے ایپ اور سرور کوڈ ہفتے پہلے جاری کیا" جبکہ "آسٹریلیا اور برطانیہ نے ایپ کوڈ جاری کیا، اور کوئی سرور کوڈ نہیں، گزشتہ 24 گھنٹوں میں" [1]۔ اہم بات یہ ہے کہ آسٹریلیا نے صرف ایپلیکیشن کوڈ جاری کیا — سرور کوڈ نہیں جہاں "سرور تمام کرپٹوگرافی کرتا ہے" [1]۔ حکومت نے سنگاپور اور برطانیہ کے برعکس کرپٹوگرافک ڈیزائن اور سیکیورٹی مفروضوں کی وضاحت کرنے والے وائٹ پیپر بھی شائع نہیں کیے [1]۔ **وقت کے ساتھ دریافت شدہ متعدد کمزوریاں:** محققین نے کم از کم چار بڑی کمزوریاں شناخت کیں جو پورے 2020 میں مختلف اوقات میں دریافت ہوئیں [2]: - آئی فونز پر کووِڈ سیف کے بلوتوت (Bluetooth) پیغامات پڑھنے کے طریقہ کار میں ایک خرابی، جس سے بعض خفیہ کردہ پیغامات بگڑ گئے [2] - CVE-2020-14292: اینڈرائیڈ آلات کو طویل عرصے تک ٹریک کرنے کی اجازت دینے والی کمزوری [2] - CVE-2020-12856: اینڈرائیڈ فونز سے بغیر آواز کے جڑنے کی اجازت دینے والی خرابی، جو ورژن 1.0.17 اور اس سے پہلے والے ورژنز کو متاثر کرتی تھی [2] - خفیہ کاری کوڈ میں ایک سنگین ہم وقتہ (Concurrency) خرابی (ورژن 1.0.18 سے 1.0.27) جہاں ایک سائفر (Cipher) انسٹانس کو ہم آہنگی کے بغیر دھاگوں (Threads) کے درمیان شیئر کیا گیا تھا [2] یہ سب ایک ساتھ دریافت نہیں ہوئے، بلکہ محققین نے ہفتوں اور مہینوں میں کوڈ کا جائزہ لینے کے بعد ان کی شناخت کی [2]۔ **تحقیقی کمیونٹی کے ساتھ کم تعامل:** حکومت نے خدشات اٹھانے والے محققین سے مناسب طور پر بات چیت نہیں کی۔ ڈاکٹر وینیسا ٹیگ اور ساتھیوں نے ایپلیکیشن کے مسائل کی اطلاع دی، لیکن رابطہ مشکل تھا [1]۔ آسٹریلین ڈیجیٹل ٹرانسفارمیشن ایجنسی نے صرف ایک ای میل ایڈریس شائع کیا جہاں محققین "رائے دہی کر سکتے تھے"، بجائے باقاعدہ، جوابدہ کمزوری انکشاف پروگرام کے قیام کے [1]۔ He detailed these vulnerabilities in a comprehensive report and emailed the Department of Health, Digital Transformation Agency (DTA), Australian Signals Directorate (ASD), and the Australian Cyber Security Centre (ACSC) on April 27-28 [1].
غائب سیاق و سباق
تاہم، اس دعوے کے لیے اہم سیاق و سباق درکار ہے جو تشریح کو متاثر کرتا ہے: **تعجیل شدہ ٹائم لائن اور وبائی ردعمل:** کووِڈ سیف ایپ ایک فوری وبائی بحران کے جواب میں تیار کی گئی تھی اور جلدی جاری کی گئی [3]۔ حکومت ایک غیر معمولی رفتار سے ٹیکنالوجی تیار کر رہی تھی ایک عوامی صحت کی ایمرجنسی کے دوران۔ جبکہ اس نے فوری پن کو وضاحت دی، یہ ناکامی صنعت کے معیاری سیکیورٹی طریقوں کو جواز نہیں بناتی — درحقیقت، یہ انہیں زیادہ اہم بنا دیتی ہے، کم نہیں [3]۔ **حکومتی احتساب بمقابلہ موازناتی تجزیہ:** حکومت نے کچھ مسائل کا آخرکار جواب دیا۔ تحقیقی کمیونٹی نے کمزوریاں شناخت کرنے کے بعد، DTA اور ASD نے خفیہ کاری کی ہم وقتہ خرابی کو پچ کیا، جس کے لیے محققین نے ان کا شکریہ ادا کیا [2]۔ تاہم، حکومت کی ابتدائی ناکامی بدیہی کمزوری انکشاف کے طریقوں کو قائم کرنے میں مطلب یہ تھا کہ درستنگیاں بدیہی طور پر نہیں، بلبلا کر کی گئیں۔ **بین الاقوامی معیارات کے ساتھ موازنہ:** سنگاپور کا رابطہ ٹریسنگ ایپ (ٹریس ٹو گیدھر)، جس پر آسٹریلیا نے کووِڈ سیف ماڈل کیا، یہ ظاہر کرتا ہے کہ تیز کمزوری انکشاف اور زیادہ شفاف سیکیورٹی طریقے وبائی ایمرجنسی کے باوجود قابل عمل تھے۔ اسی طرح، برطانیہ کے طریقہ کار، اگرچہ مکمل طور پر بہترین نہیں تھے، محققین کے ساتھ تیز تر بات چیت اور وائٹ پیپر دستاویزات کے ساتھ نمایاں طور پر زیادہ شفاف تھے [1]۔ **اثر کا پیمانہ:** جبکہ کووِڈ سیف کے سیکیورٹی مسائل حقیقی تھے، ایپ نے آخرکار وبائیاتی قدر فراہم کرنے میں ناکام رہی۔ ایک خفیہ حکومت کی رپورٹ جس میں آزاد مشیران نے دریافت کیا کہ "کووِڈ سیف کا استعمال...
However, the claim requires significant context that affects interpretation:
**Rushed Timeline and Pandemic Response:** The COVIDSafe app was developed in response to an urgent pandemic crisis and was released quickly [3].
ریاستی رابطہ ٹریسنگ ٹیموں کے لیے اعلی لین دین کے اخراجات کا باعث بنا اور کم فوائد پیدا کیے" [3]۔ ایپ کو غیر فعال کرنے کے وقت تک، اس نے اپنی پوری مدت سرگرمی میں صرف دو مثبت کیسز اور 17 قریبی رابطے دریافت کیے تھے [3]۔ لہٰذا، سیکیورٹی کمزوریاں ایک ایسی ایپ میں ہوئیں جو اپنے اعلان کردہ مقصد کے لیے بنیادی طور پر ناکام تھی۔ The government was developing technology at an unprecedented pace during a public health emergency.
ماخذ کی ساکھ کا جائزہ
دیے گئے اصل ذرائع قابل اعتماد اور اچھی طرح سے دستاویز شدہ ہیں: **ZDNET مضمون [1]:** ZDNET زف ڈیوس میڈیا کی ملکیت ایک مین اسٹریم ٹیکنالوجی اشاعت ہے اور ٹیکنالوجی رپورٹنگ کے لیے وسیع پیمانے پر ایک قابل اعتماد ذریعہ کے طور پر تسلیم شدہ ہے۔ اسٹلگیرین (Stilgherrian) کا مضمون، ایک معروف ٹیکنالوجی صحافی، براہ راست جِم مسارڈ (ایک سیکیورٹی محقق) اور ڈاکٹر وینیسا ٹیگ (ایک معزز کرپٹوگرافر) کی رپورٹنگ پر مبنی ہے۔ مضمون حقائق پر مبنی اور دستاویز شدہ ہے [1]۔ **ITNews مضمون [2]:** ITNews.com.au ایک آسٹریلوی ٹیکنالوجی نیوز اشاعت ہے جو درست رپورٹنگ کے لیے مستحکم ساکھ رکھتی ہے۔ یہ مضمون متعدد معزز محققین (کرس کولنی، بین فرینگلے، ایلینر میکمرٹری، جِم مسارڈ، یعقوب اسمتھ، وینیسا ٹیگ، اور الون ٹیو) کی طرف سے شناخت شدہ کمزوریوں کا حوالہ دیتا ہے اور ان کی تفصیلی گِٹ ہب دستاویزات پر مبنی ہے [2]۔ **گِٹ ہب دستاویزات [3]:** وینیسا ٹیگ اور دوسروں کے ذریعے برقرار رکھا گیا گِٹ ہب ذخیرہ تکنیکی تجزیہ اور ٹائم لائن دستاویزات پر مشتمل ہے۔ یہ سیکیورٹی محققین کے ذریعے خود لکھا گیا ایک بنیادی ذریعہ ہے اور یہ سمجھنے کے لیے انتہائی قابل اعتماد ہے کہ کیا دریافت کیا گیا تھا اور کب [3]۔ یہ ذرائع کسی بھی جماعت کی وکالت نہیں ہیں؛ یہ معزز ٹیکنالوجی صحافیوں اور کرپٹوگرافی ماہرین کی طرف سے سرکاری ایپلیکیشن میں سیکیورٹی مسائل کو دستاویز کرنے والے حقیقی حقائق کی رپورٹنگ ہیں۔
The original sources provided are credible and well-documented:
**ZDNET Article [1]:** ZDNET is a mainstream technology publication owned by Ziff Davis Media and is widely recognized as a credible source for technology reporting.
⚖️
Labor موازنہ
**کیا لیبر (Labor) نے ٹیکنالوجی سیکیورٹی طریقوں کے ساتھ ایسا ہی کچھ کیا؟** اس سوال کا براہ راست اندازہ لگانا کچھ مشکل ہے کیونکہ لیبر وبائی مرض کے دوران اقتدار میں نہیں تھا (اتحاد 2013-2022 حکومت کرتا رہا، جبکہ لیبر نے 2022 کے انتخابات میں جیت حاصل کی)۔ تاہم، کچھ متعلقہ تاریخی سیاق و سباق موجود ہے: **سابق لیبر حکومت کی ٹیکنالوجی کا افتتاح:** لیبر کی 2007-2013 کی حکومت کے دوران، اس نے مختلف ٹیکنالوجی کا افتتاح کیا، بشمول نیشنل براؤڈ بینڈ نیٹ ورک (NBN)۔ NBN منصوبے کو لاگت میں اضافے اور نفاذ کے چیلنجوں پر تنقید کا سامنا کرنا پڑا، لیکن یہ زیادہ تر منصوبے کے انتظام اور انفراسٹرکچر کی تعیناتی سے متعلق تھے بجائے مخصوص ایپلیکیشنز میں سیکیورٹی طریقوں کے [4]۔ **مجوزہ اپوزیشن سائبر سیکیورٹی پالیسیاں:** وبائی مرض کے دوران، لیبر کے شیڈو اسسٹنٹ سائبر سیکیورٹی وزیر ٹم واٹس (Tim Watts) نے ہیکر ون (HackerOne) کے ذریعے چلائے جانے والے برطانیہ کے ماڈل "مرکزی کمزوری انکشاف پلیٹ فارم" کی طرف اشارہ کیا بہتر طریقہ کار کے طور پر [1]۔ لیبر اس طرح کی اقدامات کو پالیسی کے طور پر پیش کر رہی تھی، یہ تجویز کرتے ہوئے کہ اپوزیشن نے تسلیم کیا کہ اتحاد کا طریقہ کار ناکام تھا [1]۔ اس سے مراد ہے کہ لیبر بہتر طریقوں پر عمل درآمد کرتا، لیکن یہ ایک مجوزہ متبادل ہے، نہ کہ مظاہر شدہ کارکردگی۔ **سرکاری سطح پر سیکیورٹی کلچر:** کوئی ثبوت نہیں ہے کہ البانیز حکومت (2022-حال) کے تحت لیبر نے بنیادی اہم ایپلیکیشنز کے لیے مختلف سیکیورٹی طریقے نافذ کیے ہیں۔ یہ مسئلہ آسٹریلوی حکومت میں زیادہ نظام وظیفہ ہے بجائے کسی ایک جماعت کے۔
**Did Labor do something similar with technology security practices?**
This question is somewhat difficult to assess directly because Labor was not in power during the COVID-19 pandemic (the Coalition governed 2013-2022, while Labor won the 2022 election).
🌐
متوازن نقطہ نظر
**حکومت کا موقف:** DTA نے وبائی بحران کے دوران غیر معمولی وقت کے دباؤ میں کام کیا۔ باقاعدہ بگ باؤنٹی پروگرامز قائم کرنا اور جامع سیکیورٹی دستاویزات شائع کرنا عام حالات میں ہفتے یا مہینے لیتے ہیں۔ حکومت نے عام حالات میں مثالی سیکیورٹی طریقوں پر تیز رفتار انسٹال کو ترجیح دی۔ **تاہم، یہ طریقہ کار کو جواز نہیں بناتا:** بین الاقوامی موازنہ ظاہر کرتا ہے کہ شفاف سیکیورٹی طریقے تیز انسٹال کے ساتھ ناگزیر نہیں ہیں۔ سنگاپور اور برطانیہ نے دونوں نے زیادہ جامع دستاویزات جاری کیں اور محققین کے ساتھ تیز تر رابطے کے چینلز قائم کیے، یہاں تک کہ اسی وبائی ایمرجنسی کے دوران [1]۔ "یہ فوری تھا" کی وضاحت سیاق و سباہت فراہم کرتی ہے لیکن صنعت کے معیاری سیکیورٹی طریقوں کو مکمل طور پر ترک کرنے کی توجیہ نہیں بنتی۔ **بروڈر نظامتی مسئلہ:** آسٹریلیا کی کووِڈ ٹیکنالوجی ایکوسسٹم کی تعلیمی تجزیہ سے پتہ چلتا ہے کہ یہ ایک وسیع تر مسئلے کا حصہ تھا: "آسٹریلیا کا انتخاب سیکیورٹی کے بصری اشاروں کی تشہیر اور ڈیزائن کرنا — مثلاً چیک انز کے لیے 'سبز ٹک' — مسلسل مضبوط کرپٹو گرافک تحفظات کی قیمت پر آیا" [3]۔ یہ صرف ٹائم لائن کے دباؤ کا معاملہ نہیں تھا بلکہ سیکیورٹی کو اپنانے میں ایک بنیادی فلسفیانہ فرق تھا۔ **اہم امتیاز:** سیکیورٹی کی بہترین طریقوں کو منتخب کرنا کوئی عیش و آرام کا اضافہ نہیں ہے؛ یہ بنیادی ہے۔ حکومت کی ناکامی باقاعدہ کمزوری انکشاف، مکمل کوڈ شائع، یا بگ باؤنٹی پروگرامز کو نافذ کرنے میں مطلب یہ تھا کہ: - سیکیورٹی کے مسائل بیرونی محققین کے ذریعے دریافت ہوئے اور غیر جوابدہ سرکاری ایجنسیاں کو رپورٹ کیے گئے - درستنگیاں بدیہی طور پر نہیں، بلبلا کر کی گئیں - حکومت نے کrowdsourced سیکیورٹی آڈیٹنگ سے فائدہ نہیں اٹھایا - عوام کا اعتماد خراب سیکیورٹی طریقوں سے کم ہوا
**The Government's Position:** The DTA acted under extraordinary time pressure during a pandemic.
سچ
8.5
/ 10
اتحاد (Coalition) حکومت نے کووِڈ سیف ایپ (COVIDSafe App) کے انسٹال کرنے کے وقت سیکیورٹی کی بہترین طریقوں کو نظرانداز کیا۔ حکومت نے باقاعدہ بگ باؤنٹی (Bug Bounty) پروگرام قائم کرنے سے انکار کیا [1],بروقت مکمل سورس کوڈ شائع نہیں کیا (صرف ایپ کوڈ، سرور کوڈ نہیں) [1]، اور بدیہی کمزوری انکشاف کے عمل کو قائم کرنے میں ناکام رہی [1]۔ یہ کمزوریاں — بشمول CVE-2020-14292، CVE-2020-12856، بلوتوت (Bluetooth) پیغام کی خرابی، اور خفیہ کاری کی ہم وقتہ خرابیاں — وقت کے ساتھ محققین کے ذریعے دریافت ہوئیں اور ایک غیر جوابدہ سرکاری ادارے کو رپورٹ کی گئیں [1][2]۔ بین الاقوامی موازنے (سنگاپور، برطانیہ) ظاہر کرتے ہیں کہ یہ ضرورت کی ناکامیاں نہیں، بلکہ انتخاب کی ناکامیاں تھیں [1][3]۔
The Coalition government did ignore security best practices when deploying the COVIDSafe app.
حتمی سکور
8.5
/ 10
سچ
اتحاد (Coalition) حکومت نے کووِڈ سیف ایپ (COVIDSafe App) کے انسٹال کرنے کے وقت سیکیورٹی کی بہترین طریقوں کو نظرانداز کیا۔ حکومت نے باقاعدہ بگ باؤنٹی (Bug Bounty) پروگرام قائم کرنے سے انکار کیا [1],بروقت مکمل سورس کوڈ شائع نہیں کیا (صرف ایپ کوڈ، سرور کوڈ نہیں) [1]، اور بدیہی کمزوری انکشاف کے عمل کو قائم کرنے میں ناکام رہی [1]۔ یہ کمزوریاں — بشمول CVE-2020-14292، CVE-2020-12856، بلوتوت (Bluetooth) پیغام کی خرابی، اور خفیہ کاری کی ہم وقتہ خرابیاں — وقت کے ساتھ محققین کے ذریعے دریافت ہوئیں اور ایک غیر جوابدہ سرکاری ادارے کو رپورٹ کی گئیں [1][2]۔ بین الاقوامی موازنے (سنگاپور، برطانیہ) ظاہر کرتے ہیں کہ یہ ضرورت کی ناکامیاں نہیں، بلکہ انتخاب کی ناکامیاں تھیں [1][3]۔
The Coalition government did ignore security best practices when deploying the COVIDSafe app.
📚 ذرائع اور حوالہ جات (6)
-
1
zdnet.com
Best practice would suggest that making source code available and responding quickly to reported vulnerabilities is a given for government apps, but not yet in Australia.
ZDNET -
2
itwire.com
A number of researchers have detailed four major vulnerabilities in the Australian Government's COVIDSafe application for the iPhone and Android systems, and advised users to upgrade at once. The main patches issued were to fix: A bug in the way COVIDSafe reads Bluetooth messages on iPhones. Thi...
Researchers outline flaws in COVIDSafe app, urge users to upgrade -
3
arxiv.org
Arxiv
-
4PDF
report on the operation and effectiveness of covidsafe and the national covidsafe data store 0
Health Gov • PDF Document -
5
ncbi.nlm.nih.gov
Timely and effective contact tracing is an essential public health measure for curbing the transmission of COVID-19. App-based contact tracing has the potential to optimize the resources of overstretched public health departments. However, its ...
PubMed Central (PMC) -
6
pmc.ncbi.nlm.nih.gov
The global and national response to the COVID-19 pandemic has been inadequate due to a collective lack of preparation and a shortage of available tools for responding to a large-scale pandemic. By applying lessons learned to create better ...
PubMed Central (PMC)
درجہ بندی پیمانے کا طریقہ کار
1-3: غلط
حقائق کے لحاظ سے غلط یا بدنیتی پر مبنی من گھڑت۔
4-6: جزوی
کچھ سچائی لیکن سیاق و سباق غائب یا مسخ شدہ ہے۔
7-9: زیادہ تر سچ
معمولی تکنیکی تفصیلات یا الفاظ کے مسائل۔
10: درست
مکمل طور پر تصدیق شدہ اور سیاق و سباق کے لحاظ سے منصفانہ۔
طریقہ کار: درجہ بندیاں سرکاری حکومتی ریکارڈز، آزاد حقائق کی جانچ کرنے والی تنظیمات اور بنیادی ماخذ دستاویزات کے باہمی حوالے سے طے کی جاتی ہیں۔