Gadgetshowto
All'inizio di quest'anno, a maggio, è emerso che una versione manomessa del software di registrazione Aadhaar di UIDAI, che aggirava le funzionalità di sicurezza del software originale e consentiva a qualsiasi persona non autorizzata di creare un numero Aadhaar, veniva venduta online. L'UIDAI ha rapidamente negato i rapporti, ma una recente indagine approfondita ha rivelato che l'UIDAI "super sicuro" Il software di registrazione di Aadhaar è stato violato e una patch che consente l'hacking viene venduta per soli Rs. 2.500.
Un'indagine di 3 mesi condotta da Huffington Post India ha scoperto l'esistenza di una patch che disabilita tutte le funzionalità di sicurezza critiche del sistema di registrazione Aadhaar ufficiale di UIDAI e consente a qualsiasi persona di creare un numero Aadhaar, da qualsiasi parte del mondo.
La patch è stata valutata da 3 esperti di sicurezza software internazionali e due indiani, che hanno confermato il suo funzionamento e il pericolo che rappresenta. La patch supera il protocollo di autenticazione biometrica del software di registrazione Aadhaar - chiamato Enrollment Client Multi-Platform - e riduce anche la precisione del sistema di riconoscimento dell'iride, facilitando lo spoofing del software con una stampa di un'iride, invece di Verifica 3D, che consente a chiunque non sia un operatore di registrazione Aadhaar certificato di aggiungere nuovi membri.
Come affermato nel rapporto originale mesi fa, disabilita anche la funzione GPS obbligatoria del software per tracciare il luogo in cui si trova un centro di registrazione Aadhaar, rendendo possibile creare un ID Aadhaar da qualsiasi luogo in tutto il mondo. È interessante notare che la patch è stata creata utilizzando il codice di build precedenti del software di registrazione UIDAI che presentava molteplici falle di sicurezza e, secondo l'ultimo rapporto, è ampiamente utilizzata in tutta la nazione.
Gli esperti di sicurezza che hanno analizzato la patch hanno rivelato che utilizzare la patch è semplice come installare qualsiasi software e quindi copiare e incollare le cartelle per violare il sistema di registrazione di Aadhaar.
Gustaf Björksten, capo tecnologo di Access Now, un gruppo di difesa e politica tecnologica globale, e uno degli esperti consultati dall'Huffington Post per le indagini, ha affermato che Aadhaar è un obiettivo di alto livello per i criminali. "Probabilmente ci sono molte persone ed entità, criminali, politiche, nazionali e straniere, che trarrebbero un beneficio sufficiente da questo compromesso di Aadhaar da rendere utile l'investimento nella creazione della toppa..
"Per avere qualche speranza di mettere in sicurezza Aadhaar, il design del sistema dovrebbe essere cambiato radicalmente," Ha aggiunto
Huffington Post afferma di aver fornito l'accesso alla patch al National Critical Information Infrastructure Protection Center (NCIIPC), l'ente governativo responsabile della supervisione della sicurezza di Aadhaar. Tuttavia, l'agenzia deve ancora rivelare i suoi risultati. UIDAI non ha ancora commentato il rapporto, né ha risposto alle domande della pubblicazione.
