Gadgetshowto
Aadhaar zou in de beste gevallen altijd een privacy-nachtmerrie worden, maar recente rapporten van ernstige datalekken en het daaropvolgende tribune-onderzoek hebben aangetoond hoe gemakkelijk het is voor willekeurige mensen om toegang te krijgen tot Aadhaar-gegevens voor slechts Rs. 500. Het ergste is dat de regering, in plaats van te bezitten, in de doofpot-modus ging en ontkende dat de inbreuk zelfs had plaatsgevonden, zelfs toen de man erachter toegaf Aadhaar-gegevens te verkopen voor pinda's.
Nu ligt het controversiële identificatiesysteem opnieuw onder vuur, dit keer dankzij een onderzoek door een bekende Franse beveiligingsonderzoeker Baptiste Robert alias Elliot Anderson, die zegt dat de onlangs uitgebrachte mAadhaar-app grote beveiligingsproblemen heeft waardoor het "Super eenvoudig om het wachtwoord voor de lokale database te krijgen".
Anderson, voor niet-ingewijden, is dezelfde man die de aanwezigheid van de EngineerMode APK in OxygenOS van OnePlus meldde, wat leidde tot ernstige controverse en verzet tegen het bedrijf.
Volgens Anderson slaat de Aadhaar-app alle biometrische gegevens op in een lokale database die is beveiligd met een wachtwoord. Hoewel dat op zichzelf gebruikelijk is, is het feit dat de app-ontwikkelaars (KhoslaLabs) het wachtwoord genereren met een willekeurig nummer met 123456789 als seed en een hardgecodeerde string db_password_123, wat nu de hackles van voorstanders van privacy oproept. Volgens een proof-of-concept gepubliceerd door Anderson op Github, blijft het gegenereerde wachtwoord altijd hetzelfde, hoe vaak de applicatie ook moet worden gestart.
De # Aadhaar #android-app slaat uw biometrische instellingen op in een lokale database die is beveiligd met een wachtwoord. Om het wachtwoord te genereren, gebruikten ze een willekeurig nummer met 123456789 als zaad en een hardcoded string db_password_123 🤦♂️ pic.twitter.com/Ty7cPmOjAb
- Elliot Alderson (@ fs0c131y) 10 januari 2018
Volgens Anderson reageerde UIDAI op hem door te zeggen dat de app gegevens op het apparaat zelf opslaat, maar dat was nooit het twistpunt. De dingen zijn, omdat de app niet 'eigenlijk' elke keer een willekeurig wachtwoord genereert, als je je telefoon kwijtraakt, heeft de persoon die de controle heeft toegang tot al je gegevens, ook al ben je technisch uitgelogd bij de app. .
