Gadgetshowto
W maju tego roku pojawiły się doniesienia, że sfałszowana wersja oprogramowania rejestracyjnego UIDAI Aadhaar, która omijała funkcje bezpieczeństwa oryginalnego oprogramowania i pozwalała każdej nieuprawnionej osobie na utworzenie numeru Aadhaar, była sprzedawana online. UIDAI szybko zaprzeczył doniesieniom, ale ostatnie dogłębne dochodzenie ujawniło, że UIDAI „super bezpieczny” Oprogramowanie rejestracyjne Aadhaar zostało zhakowane, a łatka umożliwiająca włamanie jest sprzedawana za jedyne Rs. 2500.
3-miesięczne dochodzenie przeprowadzone przez Huffington Post India odkrył istnienie łatki, która wyłącza wszystkie krytyczne funkcje bezpieczeństwa oficjalnego systemu rejestracji Aadhaar UIDAI i pozwala dowolnej osobie na utworzenie numeru Aadhaar z dowolnego miejsca na świecie.
Łatka została oceniona przez 3 międzynarodowych i dwóch indyjskich ekspertów ds. Bezpieczeństwa oprogramowania, którzy potwierdzili, że działa i jakie stwarza zagrożenie. Łatka pokonuje biometryczny protokół uwierzytelniania oprogramowania rejestracyjnego Aadhaar - zwany Enrollment Client Multi-Platform - a także zmniejsza dokładność systemu rozpoznawania tęczówki, ułatwiając fałszowanie oprogramowania za pomocą wydruku tęczówki zamiast Weryfikacja 3D, umożliwiająca każdemu innemu niż certyfikowany operator rejestracji w Aadhaar dodawanie nowych członków.
Jak stwierdzono w oryginalnym raporcie kilka miesięcy temu, wyłącza również obowiązkową funkcję GPS oprogramowania do śledzenia lokalizacji centrum rejestracji w Aadhaar, umożliwiając utworzenie identyfikatora Aadhaar z dowolnego miejsca na świecie. Co ciekawe, łatka została utworzona przy użyciu kodu ze starszych wersji oprogramowania rejestracyjnego UIDAI, które miało wiele luk w zabezpieczeniach i zgodnie z najnowszym raportem jest szeroko stosowana w całym kraju..
Eksperci ds. Bezpieczeństwa, którzy przeanalizowali poprawkę, ujawnili, że jej użycie jest tak proste, jak zainstalowanie dowolnego oprogramowania, a następnie skopiowanie i wklejenie folderów w celu złamania systemu rejestracji Aadhaar.
Gustaf Björksten, główny technolog w Access Now, globalnej grupie zajmującej się polityką i wsparciem technologii, oraz jeden z ekspertów, z którymi Huffington Post konsultował się w dochodzeniu, powiedział, że Aadhaar jest celem przestępców wysokiego szczebla. „Prawdopodobnie istnieje wiele osób i podmiotów, przestępczych, politycznych, krajowych i zagranicznych, które odniosłyby wystarczające korzyści z tego kompromisu Aadhaar, aby inwestycja w stworzenie łatki była warta zachodu..
„Aby mieć jakąkolwiek nadzieję na zabezpieczenie Aadhaar, projekt systemu musiałby zostać radykalnie zmieniony," on dodał
Huffington Post twierdzi, że zapewnił dostęp do poprawki do National Critical Information Infrastructure Protection Center (NCIIPC), organu rządowego odpowiedzialnego za nadzorowanie bezpieczeństwa Aadhaar. Jednak agencja nie ujawniła jeszcze swoich ustaleń. UIDAI nie skomentował jeszcze raportu ani nie odpowiedział na pytania zawarte w publikacji.
