Gadgetshowto
Anfang Mai dieses Jahres wurde berichtet, dass eine manipulierte Version der Aadhaar-Registrierungssoftware von UIDAI, die die Sicherheitsfunktionen der ursprünglichen Software umging und es jeder nicht autorisierten Person ermöglichte, eine Aadhaar-Nummer zu erstellen, online verkauft wurde. UIDAI bestritt die Berichte schnell, aber eine kürzlich durchgeführte eingehende Untersuchung hat ergeben, dass UIDAI "super sicher" Aadhaar Registrierungssoftware wurde gehackt und ein Patch, der den Hack ermöglicht, wird für nur Rs verkauft. 2.500.
Eine dreimonatige Untersuchung durchgeführt von Huffington Post India hat die Existenz eines Patches aufgedeckt, der alle kritischen Sicherheitsfunktionen des offiziellen Aadhaar-Registrierungssystems von UIDAI deaktiviert und es jeder Person ermöglicht, von überall auf der Welt eine Aadhaar-Nummer zu erstellen.
Der Patch wurde von drei internationalen und zwei indischen Software-Sicherheitsexperten bewertet, die bestätigten, dass er funktioniert und welche Gefahr er birgt. Der Patch überwindet das biometrische Authentifizierungsprotokoll der Aadhaar-Registrierungssoftware - Enrollment Client Multi-Platform genannt - und verringert auch die Genauigkeit des Iriserkennungssystems, sodass die Software einfach mit einem Ausdruck einer Iris gefälscht werden kann 3D-Überprüfung, bei der andere als ein zertifizierter Aadhaar-Registrierungsbetreiber neue Mitglieder hinzufügen können.
Wie im ursprünglichen Bericht vor Monaten angegeben, deaktiviert es auch die obligatorische GPS-Funktion der Software zum Verfolgen des Aufenthaltsorts eines Aadhaar-Registrierungszentrums, sodass von jedem Ort auf der ganzen Welt aus eine Aadhaar-ID erstellt werden kann. Interessanterweise wurde der Patch mit Code aus älteren Versionen der UIDAI-Registrierungssoftware erstellt, der mehrere Sicherheitslücken aufwies. Laut dem neuesten Bericht wird er landesweit häufig verwendet.
Sicherheitsexperten, die den Patch analysierten, stellten fest, dass die Verwendung des Patches so einfach ist wie die Installation einer Software und das anschließende Einfügen von Ordnern zum Knacken des Aadhaar-Registrierungssystems.
Gustaf Björksten, Cheftechnologe bei Access Now, einer globalen Gruppe für Technologiepolitik und Interessenvertretung, und einer der Experten, die von der Huffington Post für die Untersuchung konsultiert wurden, sagten, Aadhaar sei ein hochrangiges Ziel für Kriminelle. „Es gibt wahrscheinlich viele Einzelpersonen und Organisationen, kriminelle, politische, inländische und ausländische, die von diesem Kompromiss von Aadhaar genug profitieren würden, um die Investition in die Erstellung des Patches lohnenswert zu machen.
„Um Aadhaar sichern zu können, müsste das Systemdesign radikal geändert werden," er fügte hinzu
Die Huffington Post behauptet, sie habe dem National Critical Information Infrastructure Protection Center (NCIIPC), der für die Überwachung der Sicherheit von Aadhaar zuständigen Regierungsbehörde, Zugang zu dem Patch gewährt. Die Agentur hat ihre Ergebnisse jedoch noch nicht bekannt gegeben. UIDAI hat den Bericht noch nicht kommentiert und auch nicht auf die Fragen der Veröffentlichung geantwortet.
