Gadgetshowto
Začátkem letošního roku v květnu se objevily zprávy, že neoprávněně upravená verze softwaru pro registraci Aadhaar od UIDAI, která obešla bezpečnostní funkce původního softwaru a umožnila jakékoli neoprávněné osobě vytvořit číslo Aadhaar, byla prodávána online. UIDAI zprávy rychle popřela, ale nedávné hloubkové šetření odhalilo, že UIDAI jsou „superbezpečný“ Software pro registraci Aadhaar byl hacknut a oprava umožňující hack se prodává jen za Rs. 2 500.
3měsíční vyšetřování vedené Huffington Post Indie odhalil existenci opravy, která deaktivuje všechny důležité bezpečnostní prvky oficiálního systému registrace Aadhaar UIDAI a umožňuje jakékoli osobě vytvořit číslo Aadhaar odkudkoli na světě.
Oprava byla posouzena 3 mezinárodními a dvěma indickými odborníky na bezpečnost softwaru, kteří potvrdili, že funguje a nebezpečí, které představuje. Oprava překonává biometrický autentizační protokol registračního softwaru Aadhaar - nazývaného Enrollment Client Multi-Platform - a také snižuje přesnost systému rozpoznávání duhovky, což usnadňuje spoofování softwaru s tiskem z duhovky 3D ověření, které umožňuje přidávat nové členy komukoli jinému než certifikovanému operátorovi registrace Aadhaar.
Jak bylo uvedeno v původní zprávě před několika měsíci, deaktivuje také povinnou funkci softwaru GPS pro sledování polohy zápisového střediska Aadhaar, což umožňuje vytvářet ID Aadhaar z jakéhokoli místa na celém světě. Zajímavé je, že oprava byla vytvořena pomocí kódu ze starších verzí softwaru pro registraci UIDAI, který měl několik bezpečnostních nedostatků a podle nejnovější zprávy je široce používán v celé zemi.
Bezpečnostní experti, kteří analyzovali opravu, odhalili, že použití opravy je stejně snadné jako instalace jakéhokoli softwaru a následným kopírováním a vložením složek, aby se prolomil registrační systém Aadhaar.
Gustaf Björksten, hlavní technolog ve společnosti Access Now, skupiny pro globální technologickou politiku a advokacii, a jeden z expertů konzultovaných Huffington Post pro vyšetřování uvedl, že Aadhaar je cílem zločinců na vysoké úrovni. "Pravděpodobně existuje mnoho jednotlivců a subjektů, kriminálních, politických, domácích i zahraničních, které by z tohoto kompromisu Aadhaar dostaly dostatečný užitek, aby investice do vytvoření patche stála za to.
"Abychom měli naději na zabezpečení Aadhaara, musel by se radikálně změnit design systému," přidal
Huffington Post tvrdí, že poskytl přístup k opravě Národnímu středisku pro ochranu kritické informační infrastruktury (NCIIPC), vládnímu orgánu odpovědnému za dohled nad bezpečností Aadhaar. Agentura však své nálezy zatím nezveřejnila. UIDAI se ke zprávě zatím nevyjádřila ani neodpověděla na otázky publikace.
