De Indiase overheid heeft de broncode van de corona-app Aarogya Setu via GitHub open source gemaakt en is een bug bounty-programma gestart waarbij het onderzoekers beloont voor het vinden en melden van kwetsbaarheden in de app. Dat laat het Indiase National Informatics Centre (NIC) weten (pdf).

Het gebruik van Aarogya Setu is verplicht voor alle werknemers van bedrijven en overheden. In risicogebieden moet iedereen de app installeren. De Indiase corona-app beoordeelt het risico van gebruikers op een infectie aan de hand van locatie, medisch verleden en reisgeschiedenis. De locatie wordt aan de hand van gps-coördinaten en bluetooth-data bepaald. Wanneer gebruikers in contact met een coronapatiënt zijn gekomen zullen ze een waarschuwing ontvangen.

Om de app te kunnen gebruiken moeten mensen hun naam, telefoonnummer, leeftijd, geslacht, beroep en alle bezochte landen in de afgelopen dertig dagen opgeven. Hierna moeten gebruikers verschillende vragen over hun gezondheid beantwoorden, bijvoorbeeld of ze diabetes of een longziekte hebben. Deze data wordt op een server van de Indiase overheid opgeslagen en gekoppeld aan een uniek identificatienummer. Daarmee wordt de gebruiker vervolgens gevolgd. Dit identificatienummer wordt ook gebruikt voor alle data die gebruiker later uploadt.

Eenmaal actief verzamelt de app de locatie van de gebruiker en bewaart die op het toestel van de gebruiker. Zodra gebruikers van de app in elkaars buurt komen wordt hun identificatienummer via bluetooth uitgewisseld en de tijd en gps-locatie wanneer en waar het contact plaatsvond opgeslagen. Wanneer een gebruiker besmet blijkt te zijn wordt deze data naar de Indiase overheid gestuurd, die vervolgens een waarschuwing naar alle gebruikers stuurt die met de coronapatiënt in contact zijn gekomen.

Aarogya Setu werd op 2 april gelanceerd en heeft inmiddels meer dan 114 miljoen gebruikers, zo laat het Indiase ministerie van it-zaken weten. De app is beschikbaar in twaalf verschillende talen en voor drie platformen. Naast Android en iOS is er ook een versie voor kaiOS. Volgens het ministerie zijn transparantie, privacy en veiligheid de drie belangrijkste pilaren van de app.

In lijn met het Indiase beleid rondom opensourcesoftware, dat stelt dat opensourcesoftware de voorkeur geniet boven propriëtaire software, is besloten om de broncode van de Androidversie open source te maken. De broncode van de iOS-versie verschijnt over twee weken online, gevolgd door de broncode van de serverkant.

Om de veiligheid van de app testen en het vertrouwen onder gebruikers te vergroten is er tevens een bug bounty-programma gestart. Onderzoekers die kwetsbaarheden in de app vinden en rapporteren ontvangen hiervoor een beloning van omgerekend maximaal 1200 euro per beveiligingslek met een maximum van drie kwetsbaarheden, oftewel 3600 euro. Het programma loopt tot 27 juni (pdf).