Gadgetshowto
Aadhaar siempre iba a ser una pesadilla de privacidad en el mejor de los casos, pero los informes recientes de violaciones graves de datos y la consiguiente investigación de Tribune han demostrado lo fácil que es para personas al azar acceder a los datos de Aadhaar por tan solo Rs. 500. La peor parte es que, en lugar de reconocerlo, el gobierno adoptó un modo de encubrimiento, negando que la infracción hubiera ocurrido, incluso cuando el hombre detrás admitió haber vendido datos de Aadhaar a cambio de maní.
Ahora, el controvertido sistema de identificación está nuevamente bajo fuego, esta vez gracias a una investigación realizada por un conocido investigador de seguridad francés, Baptiste Robert, también conocido como Elliot Anderson, quien dice que la aplicación mAadhaar recientemente lanzada tiene importantes problemas de seguridad que la hacen "Muy fácil de obtener la contraseña para la base de datos local".
Anderson, para los no iniciados, es el mismo hombre que informó de la presencia del APK EngineerMode en OxygenOS de OnePlus, lo que generó una gran controversia y reacciones violentas contra la compañía..
Según Anderson, la aplicación Aadhaar guarda todos los detalles biométricos en una base de datos local que está protegida por una contraseña. Si bien eso en sí mismo es una práctica común, el hecho de que los desarrolladores de la aplicación (KhoslaLabs) generen la contraseña utilizando un número aleatorio con 123456789 como semilla y una cadena codificada db_password_123 es lo que ahora está provocando los problemas de los defensores de la privacidad. Según una prueba de concepto publicada por Anderson en Github, la contraseña generada siempre sigue siendo la misma, no importa cuántas veces se inicie la aplicación..
La aplicación #Aadhaar #android está guardando su configuración biométrica en una base de datos local que está protegida con una contraseña. Para generar la contraseña, utilizaron un número aleatorio con 123456789 como semilla y una cadena codificada db_password_123 🤦♂️ pic.twitter.com/Ty7cPmOjAb
- Elliot Alderson (@ fs0c131y) 10 de enero de 2018
Según Anderson, UIDAI le respondió diciendo que la aplicación almacena datos en el dispositivo en sí, pero ese nunca fue el punto de discusión. La cosa es que, debido a que la aplicación no genera 'en realidad' una contraseña aleatoria cada vez, si pierde su teléfono, la persona que lo controla tendrá acceso a todos sus datos aunque técnicamente no haya iniciado sesión en la aplicación .
