Gadgetshowto
Aadhaar allait toujours être un cauchemar de confidentialité dans le meilleur des cas, mais des rapports récents de violations de données graves et l'enquête Tribune qui a suivi ont montré à quel point il est facile pour des personnes aléatoires d'accéder aux données d'Aadhaar pour aussi peu que Rs. 500. Le pire, c'est que, plutôt que d'admettre, le gouvernement est entré en mode camouflage, niant que la violation se soit même produite, alors même que l'homme derrière elle a admis avoir vendu des données d'Aadhaar contre des arachides..
Maintenant, le système d'identification controversé est à nouveau sous le feu des critiques, cette fois grâce à une enquête menée par un chercheur français bien connu en matière de sécurité, Baptiste Robert alias Elliot Anderson, qui affirme que l'application mAadhaar récemment publiée présente des problèmes de sécurité majeurs qui la "Super facile d'obtenir le mot de passe de la base de données locale".
Anderson, pour les non-initiés, est le même homme qui a signalé la présence de l'APK EngineerMode dans OxygenOS de OnePlus, ce qui a provoqué une vive controverse et des réactions négatives contre l'entreprise..
Selon Anderson, l'application Aadhaar enregistre tous les détails biométriques dans une base de données locale protégée par un mot de passe. Bien que cela soit en soi une pratique courante, le fait que les développeurs d'applications (KhoslaLabs) génèrent le mot de passe en utilisant un nombre aléatoire avec 123456789 comme germe et une chaîne codée en dur db_password_123 est ce qui soulève maintenant les hackers des défenseurs de la confidentialité. Selon une preuve de concept publiée par Anderson sur Github, le mot de passe généré reste toujours le même, peu importe combien de fois pour démarrer l'application.
L'application #Aadhaar #android enregistre vos paramètres biométriques dans une base de données locale protégée par un mot de passe. Pour générer le mot de passe, ils ont utilisé un nombre aléatoire avec 123456789 comme graine et une chaîne codée en dur db_password_123 🤦♂️ pic.twitter.com/Ty7cPmOjAb
- Elliot Alderson (@ fs0c131y) 10 janvier 2018
Selon Anderson, UIDAI lui a répondu en disant que l'application stockait des données sur l'appareil lui-même, mais ce n'était jamais le point de discorde. Le fait est que l'application ne génère pas `` en fait '' un mot de passe aléatoire à chaque fois, si vous perdez votre téléphone, la personne qui en contrôle aura accès à toutes vos informations même si vous êtes techniquement déconnecté de l'application. .
