Gadgetshowto
Tidigare i år i maj framkom rapporter att en manipulerad version av UIDAI: s Aadhaar-registreringsprogramvara, som kringgick den ursprungliga programvarans säkerhetsfunktioner och tillät någon obehörig att skapa ett Aadhaar-nummer, såldes online. UIDAI förnekade snabbt rapporterna, men en nyligen fördjupad utredning har avslöjat att UIDAI '' supersäker '' Aadhaar-registreringsprogramvaran har hackats och en patch som gör att hacket säljs för bara Rs. 2500.
En 3 månader lång utredning utförd av Huffington Post Indien har upptäckt förekomsten av en patch som inaktiverar alla kritiska säkerhetsfunktioner i UIDAI: s officiella Aadhaar-registreringssystem och som gör det möjligt för alla att skapa ett Aadhaar-nummer, var som helst i världen.
Plåstret har utvärderats av tre internationella och två indiska säkerhetsexperter för mjukvara, som bekräftade att det fungerar och den fara det utgör. Plåstret övervinner det biometriska autentiseringsprotokollet för Aadhaar-registreringsprogramvaran - kallad Enrollment Client Multi-Platform - och minskar också noggrannheten hos irisigenkänningssystemet, vilket gör det enkelt att förfalska programvaran med en utskrift av en iris istället för 3D-verifiering, så att någon annan än en certifierad Aadhaar-registreringsoperatör kan lägga till nya medlemmar.
Som anges i den ursprungliga rapporten för månader sedan inaktiverar den också programvarans obligatoriska GPS-funktion för att spåra var ett Aadhaar-registreringscenter ligger, vilket gör det möjligt att skapa ett Aadhaar-ID från vilken plats som helst över hela världen. Intressant är att plåstret skapades med hjälp av kod från äldre versioner av UIDAI: s registreringsprogramvara som hade flera säkerhetsfel och enligt den senaste rapporten används den i stor utsträckning över hela landet.
Säkerhetsexperter som analyserade korrigeringen avslöjade att det är lika enkelt att använda plåstret som att installera programvara och sedan kopiera och klistra in mappar för att knäcka Aadhaar-registreringssystemet.
Gustaf Björksten, teknologichef på Access Now, en global teknikpolitisk grupp och advokatgrupp, och en av experterna som Huffington Post rådfrågade för utredningen sa att Aadhaar är ett högnivåmål för brottslingar. “Det finns förmodligen många individer och enheter, kriminella, politiska, inhemska och utländska, som skulle få tillräckligt mycket nytta av denna kompromiss från Aadhaar för att göra investeringen i att skapa plåstret värt.
“För att ha något hopp om att säkra Aadhaar måste systemdesignen ändras radikalt," han lade till
Huffington Post hävdar att det gav tillgång till plåstret till National Critical Information Infrastructure Protection Center (NCIIPC), det regeringsorgan som ansvarar för övervakningen av Aadhaar-säkerheten. Emellertid är byrån ännu att avslöja sina resultat. UIDAI har ännu inte kommenterat rapporten och svarade inte heller på publikationens frågor.
