Gadgetshowto
Aadhaar skulle altid være et mareridt om privatlivets fred i de bedste tilfælde, men nylige rapporter om alvorlige databrud og den efterfølgende Tribune-undersøgelse har vist, hvor let det er for tilfældige mennesker at få adgang til Aadhaar-data så lave som Rs. 500. Det værste er, at regeringen i stedet for at eje op gik i skjul-tilstand og benægtede, at overtrædelsen endog skete, selv da manden bag det indrømmede at have solgt Aadhaar-data til jordnødder.
Nu er det kontroversielle identifikationssystem igen under brand, denne gang takket være en undersøgelse foretaget af en velkendt fransk sikkerhedsforsker Baptiste Robert aka Elliot Anderson, der siger, at den nyligt udgivne mAadhaar-app har store sikkerhedsproblemer, der gør det “Super let at få adgangskoden til den lokale database”.
Anderson, for de uindviede, er den samme mand, der rapporterede tilstedeværelsen af EngineerMode APK i OnePlus 'OxygenOS, hvilket førte til alvorlig kontrovers og tilbageslag mod virksomheden.
Ifølge Anderson gemmer Aadhaar-appen alle de biometriske detaljer i en lokal database, der er beskyttet af en adgangskode. Selvom det i sig selv er almindelig praksis, er det faktum, at appudviklerne (KhoslaLabs) genererer adgangskoden ved hjælp af et tilfældigt tal med 123456789 som frø og en hardkodet streng db_password_123, hvad der nu hæver hacklerne fra fortrolige for privatlivets fred. Ifølge et proof-of-concept udgivet af Anderson på Github forbliver den genererede adgangskode altid den samme, uanset hvor meget hvor mange gange du skal starte applikationen.
Appen #Aadhaar #android gemmer dine biometriske indstillinger i en lokal database, der er beskyttet med en adgangskode. For at generere adgangskoden brugte de et tilfældigt tal med 123456789 som seed og en hårdkodet streng db_password_123 🤦♂️ pic.twitter.com/Ty7cPmOjAb
- Elliot Alderson (@ fs0c131y) 10. januar 2018
Ifølge Anderson svarede UIDAI ham og sagde, at appen lagrer data på selve enheden, men det var aldrig stridspunktet. Tingene er, fordi appen ikke 'faktisk' genererer en tilfældig adgangskode hver gang, hvis du mister din telefon, vil den fyr, der har kontrol over den, få adgang til alle dine detaljer, selvom du er teknisk logget ud af appen .
