Gadgetshowto
Tidligere på året i maj kom der rapporter om, at en manipuleret version af UIDAIs Aadhaar-tilmeldingssoftware, som omgåede den originale softwares sikkerhedsfunktioner og tillod enhver uautoriseret person at oprette et Aadhaar-nummer, blev solgt online. UIDAI nægtede hurtigt rapporterne, men en nylig dybtgående undersøgelse har afsløret, at UIDAI 'super-sikker' Aadhaar tilmeldingssoftware er blevet hacket, og en patch, der tillader hacket, sælges for kun Rs. 2.500.
En 3 måneder lang undersøgelse foretaget af Huffington Post Indien har afdækket eksistensen af et program, der deaktiverer alle de kritiske sikkerhedsfunktioner i UIDAIs officielle Aadhaar-tilmeldingssystem og tillader enhver person at oprette et Aadhaar-nummer, hvor som helst i verden.
Plasteret er blevet vurderet af 3 internationale og to indiske eksperter i softwaresikkerhed, der bekræftede, at det fungerer, og at det er en fare. Plasteret overvinder den biometriske godkendelsesprotokol for Aadhaar-tilmeldingssoftwaren - kaldet Enrollment Client Multi-Platform - og reducerer også nøjagtigheden af irisgenkendelsessystemet, hvilket gør det nemt at spoofe softwaren med en udskrivning af en iris i stedet for 3D-verifikation, der lader andre end en certificeret Aadhaar-tilmeldingsoperatør tilføje nye medlemmer.
Som anført i den oprindelige rapport for måneder siden deaktiverer den også softwarens obligatoriske GPS-funktion til at spore, hvor et Aadhaar-tilmeldingscenter ligger, hvilket gør det muligt at oprette et Aadhaar-ID fra ethvert sted over hele kloden. Interessant nok blev plasteret oprettet ved hjælp af kode fra ældre builds af UIDAIs tilmeldingssoftware, der havde flere sikkerhedsfejl, og ifølge den seneste rapport bliver det brugt meget over hele landet.
Sikkerhedseksperter, der analyserede programrettelsen, afslørede, at brug af programrettelsen er så simpelt som at installere enhver software og derefter kopiere og indsætte mapper for at knække Aadhaar-tilmeldingssystemet..
Gustaf Björksten, Chief Technologist hos Access Now, en global teknologipolitik og advokatgruppe, og en af eksperterne, der blev hørt af Huffington Post i forbindelse med efterforskningen, sagde, at Aadhaar er et højtmål for kriminelle. “Der er sandsynligvis mange enkeltpersoner og enheder, kriminelle, politiske, indenlandske og udenlandske, der ville drage nok fordel af dette kompromis fra Aadhaar til at gøre investeringen i at skabe lappen umagen værd..
“For at have ethvert håb om at sikre Aadhaar, skulle systemdesignet ændres radikalt," han tilføjede
Huffington Post hævder, at det gav adgang til programrettelsen til National Critical Information Infrastructure Protection Center (NCIIPC), det regeringsorgan, der er ansvarligt for at føre tilsyn med Aadhaar-sikkerheden. Agenturet skal dog endnu ikke offentliggøre sine resultater. UIDAI har endnu ikke kommenteret rapporten og har heller ikke svaret på publikationens spørgsmål.
