Gadgetshowto
Aadhaar zawsze miał być koszmarem prywatności w najlepszych przypadkach, ale ostatnie doniesienia o poważnych naruszeniach danych i późniejsze dochodzenie Tribune pokazały, jak łatwo jest przypadkowym ludziom uzyskać dostęp do danych Aadhaar już za Rs. 500. Najgorsze jest to, że zamiast przyznać się do winy, rząd przeszedł w tryb tuszowania, zaprzeczając, że włamanie w ogóle się wydarzyło, nawet gdy stojący za nim człowiek przyznał się do sprzedaży danych Aadhaar za orzeszki ziemne.
Teraz kontrowersyjny system identyfikacji jest ponownie pod ostrzałem, tym razem dzięki dochodzeniu znanemu francuskiemu badaczowi bezpieczeństwa Baptiste Robert vel Elliot Anderson, który twierdzi, że niedawno wydana aplikacja mAadhaar ma poważne problemy z bezpieczeństwem, które sprawiają, że „Bardzo łatwo uzyskać hasło do lokalnej bazy danych”.
Anderson, dla niewtajemniczonych, to ten sam człowiek, który zgłosił obecność EngineerMode APK w OnePlus 'OxygenOS, co doprowadziło do poważnych kontrowersji i sprzeciwu wobec firmy.
Według Andersona aplikacja Aadhaar zapisuje wszystkie dane biometryczne w lokalnej bazie danych chronionej hasłem. Chociaż jest to samo w sobie powszechną praktyką, fakt, że twórcy aplikacji (KhoslaLabs) generują hasło przy użyciu losowej liczby z 123456789 jako materiałem źródłowym i zakodowanym na stałe ciągiem db_password_123 jest tym, co teraz budzi wątpliwości zwolenników prywatności. Zgodnie z proof-of-concept opublikowanym przez Andersona na Github, wygenerowane hasło zawsze pozostaje takie samo, bez względu na to, ile razy ma być uruchamiana aplikacja.
Aplikacja #Aadhaar #android zapisuje ustawienia biometryczne w lokalnej bazie danych, która jest chroniona hasłem. Aby wygenerować hasło, użyli losowej liczby z 123456789 jako ziarnem i zakodowanym na stałe ciągiem db_password_123 🤦♂️ pic.twitter.com/Ty7cPmOjAb
- Elliot Alderson (@ fs0c131y) 10 stycznia 2018
Według Andersona, UIDAI odpowiedział mu, mówiąc, że aplikacja przechowuje dane na samym urządzeniu, ale nigdy nie było to przedmiotem sporu. Rzecz w tym, że aplikacja nie generuje losowego hasła za każdym razem, jeśli zgubisz telefon, osoba, która go kontroluje, będzie miała dostęp do wszystkich twoich danych, nawet jeśli technicznie wylogujesz się z aplikacji .
