Gadgetshowto
Aadhaar sarebbe sempre stato un incubo per la privacy nel migliore dei casi, ma recenti rapporti di gravi violazioni dei dati e le successive indagini di Tribune hanno dimostrato quanto sia facile per persone casuali accedere ai dati di Aadhaar a partire da Rs. 500. La parte peggiore è che, invece di ammettere, il governo è andato in modalità di copertura, negando che la violazione sia avvenuta, anche se l'uomo dietro ha ammesso di aver venduto i dati di Aadhaar per noccioline.
Ora, il controverso sistema di identificazione è di nuovo sotto tiro, questa volta grazie a un'indagine di un noto ricercatore di sicurezza francese Baptiste Robert aka Elliot Anderson, il quale afferma che l'app mAadhaar recentemente rilasciata ha importanti problemi di sicurezza che lo rendono "È semplicissimo ottenere la password per il database locale".
Anderson, per chi non lo sapesse, è lo stesso uomo che ha segnalato la presenza dell'APK EngineerMode in OxygenOS di OnePlus, portando a gravi polemiche e contraccolpi contro l'azienda.
Secondo Anderson, l'app Aadhaar sta salvando tutti i dettagli biometrici in un database locale protetto da una password. Sebbene questa sia di per sé una pratica comune, il fatto che gli sviluppatori di app (KhoslaLabs) generino la password utilizzando un numero casuale con 123456789 come seed e una stringa hardcoded db_password_123 è ciò che sta sollevando i brividi dei sostenitori della privacy. Secondo un proof-of-concept pubblicato da Anderson su Github, la password generata rimane sempre la stessa, non importa quante volte avviare l'applicazione.
L'app #Aadhaar #android salva le tue impostazioni biometriche in un database locale protetto da password. Per generare la password hanno usato un numero casuale con 123456789 come seed e una stringa hardcoded db_password_123 🤦♂️ pic.twitter.com/Ty7cPmOjAb
- Elliot Alderson (@ fs0c131y) 10 gennaio 2018
Secondo Anderson, l'UIDAI gli ha risposto dicendo che l'app memorizza i dati sul dispositivo stesso, ma non è mai stato questo il punto di contesa. Il fatto è che, poiché l'app non genera `` effettivamente '' una password casuale ogni volta, se perdi il telefono, il tizio che lo controlla avrà accesso a tutti i tuoi dettagli anche se sei tecnicamente disconnesso dall'app .
