Teknik

Fransk säkerhetsforskare beskriver större fel i mAadhaar-appen

Fransk säkerhetsforskare beskriver större fel i mAadhaar-appen

Aadhaar skulle alltid vara en integritetsmardröm i de bästa fallen, men de senaste rapporterna om allvarliga dataintrång och den efterföljande Tribune-utredningen har visat hur lätt det är för slumpmässiga människor att få tillgång till Aadhaar-data så lågt som Rs. 500. Det värsta är att regeringen, i stället för att äga upp, gick över i täckläge och förnekade att överträdelsen till och med inträffade, till och med när mannen bakom den erkände att han sålde Aadhaar-data för jordnötter.

Nu är det kontroversiella identifieringssystemet återigen under brand, den här gången tack vare en utredning av en välkänd fransk säkerhetsforskare Baptiste Robert aka Elliot Anderson, som säger att den nyligen släppta mAadhaar-appen har stora säkerhetsproblem som gör det “Super lätt att få lösenordet för den lokala databasen”.

Anderson, för oinvigda, är samma man som rapporterade närvaron av EngineerMode APK i OnePlus 'OxygenOS, vilket ledde till svår kontrovers och motreaktion mot företaget.

Enligt Anderson sparar Aadhaar-appen alla biometriska detaljer i en lokal databas som är skyddad av ett lösenord. Även om det i sig är vanlig praxis, är det faktum att apputvecklarna (KhoslaLabs) genererar lösenordet med ett slumpmässigt nummer med 123456789 som utsäde och en hårdkodad sträng db_password_123, det som nu höjer hacklarna från sekretessförespråkare. Enligt ett proof-of-concept publicerat av Anderson på Github förblir det genererade lösenordet alltid detsamma, oavsett hur viktigt hur många gånger du ska starta applikationen.

Appen #Aadhaar #android sparar dina biometriska inställningar i en lokal databas som är skyddad med ett lösenord. För att generera lösenordet använde de ett slumpmässigt nummer med 123456789 som frö och en hårdkodad sträng db_password_123 🤦‍♂️ pic.twitter.com/Ty7cPmOjAb

- Elliot Alderson (@ fs0c131y) 10 januari 2018

Enligt Anderson svarade UIDAI på honom och sa att appen lagrar data på själva enheten, men det var aldrig stridspunkten. Sakerna är, eftersom appen inte 'genererar' ett slumpmässigt lösenord varje gång, om du tappar din telefon kommer killen som kontrollerar den att ha tillgång till alla dina uppgifter trots att du är tekniskt utloggad från appen .

Hur Hur man förhindrar att appar får åtkomst till internet på Mac
Hur man förhindrar att appar får åtkomst till internet på Mac
Tillgång till internet är en tjänst som används av nästan alla appar där ute. Vare sig det gäller automatiska uppdateringar, synkronisering av data ti...
Hur Så här synkroniserar du ditt OneDrive-konto på en Linux-dator
Så här synkroniserar du ditt OneDrive-konto på en Linux-dator
OneDrive, Microsofts molntjänst är ett ganska populärt erbjudande när det gäller molnlagringstjänster. OneDrive gör det möjligt för oss att komma åt v...
Hur Så här tar du bort flera kontakter från iPhone
Så här tar du bort flera kontakter från iPhone
iOS känd för sin enkla att använda, enkla användarupplevelse. iPhones riktar sig vanligtvis till människor som vill att deras telefoner ska göra det b...