Gadgetshowto
Eerder dit jaar, in mei, kwamen berichten naar voren dat een geknipte versie van UIDAI's Aadhaar-inschrijvingssoftware, die de oorspronkelijke beveiligingsfuncties van de software omzeilde en elke onbevoegde persoon in staat stelde een Aadhaar-nummer aan te maken, online werd verkocht. UIDAI ontkende snel de rapporten, maar een recent diepgaand onderzoek heeft uitgewezen dat UIDAI's 'superveilig' De registratiesoftware van Aadhaar is gehackt en een patch die de hack mogelijk maakt, wordt verkocht voor slechts Rs. 2500.
Een onderzoek van 3 maanden uitgevoerd door Huffington Post India heeft het bestaan ontdekt van een patch die alle kritieke beveiligingsfuncties van het officiële Aadhaar-registratiesysteem van UIDAI uitschakelt en iedereen in staat stelt een Aadhaar-nummer aan te maken, waar ook ter wereld.
De patch is beoordeeld door 3 internationale en twee Indiase softwarebeveiligingsexperts, die hebben bevestigd dat het werkt en het gevaar dat het met zich meebrengt. De patch overwint het biometrische authenticatieprotocol van de Aadhaar-registratiesoftware - het Enrollment Client Multi-Platform genaamd - en vermindert ook de nauwkeurigheid van het irisherkenningssysteem, waardoor het gemakkelijk wordt om de software te vervalsen met een afdruk van een iris, in plaats van 3D-verificatie, waardoor iemand anders dan een gecertificeerde Aadhaar-inschrijvingsoperator nieuwe leden kan toevoegen.
Zoals vermeld in het oorspronkelijke rapport maanden geleden, schakelt het ook de verplichte GPS-functie van de software uit voor het volgen van de verblijfplaats van een Aadhaar-inschrijvingscentrum, waardoor het mogelijk wordt om een Aadhaar-ID aan te maken vanaf elke plaats over de hele wereld. Interessant is dat de patch is gemaakt met behulp van code van oudere builds van UIDAI's inschrijvingssoftware die meerdere beveiligingsfouten vertoonde en volgens het laatste rapport op grote schaal wordt gebruikt in het hele land..
Beveiligingsexperts die de patch hebben geanalyseerd, onthulden dat het gebruik van de patch net zo eenvoudig is als het installeren van software en vervolgens het kopiëren en plakken van mappen om het Aadhaar-registratiesysteem te kraken..
Gustaf Björksten, Chief Technologist bij Access Now, een wereldwijd technologiebeleid en belangenbehartigingsgroep, en een van de experts die door Huffington Post werd geraadpleegd voor het onderzoek, zei dat Aadhaar een hoog doelwit is voor criminelen.Er zijn waarschijnlijk veel individuen en entiteiten, crimineel, politiek, binnenlands en buitenlands, die voldoende voordeel zouden halen uit dit compromis van Aadhaar om de investering in het creëren van de patch de moeite waard te maken..
Om enige hoop te hebben om Aadhaar te beveiligen, zou het systeemontwerp radicaal moeten worden gewijzigd," hij voegde toe
Huffington Post beweert dat het toegang tot de patch heeft verleend aan het National Critical Information Infrastructure Protection Centre (NCIIPC), de overheidsinstantie die verantwoordelijk is voor het toezicht op de beveiliging van Aadhaar. Het bureau moet zijn bevindingen echter nog bekendmaken. UIDAI heeft nog niet gereageerd op het rapport, noch heeft het gereageerd op de vragen van de publicatie.
