Tvrdenia UIDAI o hackerskej povahe databázy Aadhaar a robustnom zabezpečení aplikácie mAadhaar bol znovu a znovu odhalený, ale UIDAI bol vždy v režime odmietnutia. Jedna osoba, Baptiste Robert alias Elliot Alderson z Twitteru, francúzsky expert na kybernetickú bezpečnosť, varoval pred zraniteľnosťami v aplikácii mAadhaar, ako aj ďalšie indické aplikácie a služby viackrát. Ale napriek jeho tvrdeniam, že našiel údaje Aadhaar vo voľnej prírode, UIDAI tvrdil, že Aadhaar a UID zostáva veľmi bezpečný počas dlhej búrky Tweetstorm minulý týždeň.
Alderson dnes zverejnil video v reakcii na chvályhodné tvrdenia UIDAI o bezpečnosti. S názvom "Ako obísť ochranu heslom oficiálnej aplikácie Aadhaar pre Android za 1 minútu.", podrobne popisuje relatívne jednoduchý spôsob, ako sa vyhnúť takzvaným robustným bezpečnostným opatreniam aplikácie mAadhaar.
Ako obísť ochranu heslom úradníka #Aadhaar#Android#aplikácia za 1 minútu.
Pre tento útok útočník potrebuje fyzický prístup k telefónu, rootovaný telefón nie je potrebný a áno, toto je najnovšia verzia aplikácie.
cc @uidai@ceo_uidaipic.twitter.com/7aZ0fvr0Wv— Baptiste Robert (@fs0c131y) 13. marca 2018
Na obídenie protokolu zabezpečenia heslom aplikácie je potrebných len niekoľko riadkov kódu, čo je základná chyba. Podľa videa, ktoré nahral Alderson, stačí mať fyzický prístup k niečiemu smartfónu, v ktorom je nainštalovaná modifikovaná aplikácia mAadhaar. Po vykonaní príkazu, ktorý nie je ničím iným ako niekoľkými riadkami kódu, aplikácia mAadhaar vezme hackera priamo na stránku na obnovenie hesla bez toho, aby ste museli zadávať podrobnosti, ako je číslo Aadhaar a staré heslo.
Použitý súbor APK bol sfalšovaný. Na vykonanie útoku bude útočník potrebovať tento súbor APK + fyzický prístup k telefónu obete.
— Baptiste Robert (@fs0c131y) 13. marca 2018
Navyše nemusíte ani rootovať ukradnutý smartfón alebo vykonávať zložité hackerské kroky, aby ste obišli bezpečnostný firewall aplikácie mAadhaar a získali prístup k detailom Aadhaar. Úplná ľahkosť, s akou sa vyhlo slabému zabezpečeniu aplikácie, je desivá a určite prinesie viac bezsenné noci šéfovi UIDAI Ajayovi Bhushanovi Pandeymu.
Postoj UIDAI k činnosti bezpečnostného experta bol prinajmenšom „nepriateľský“., čím ho nepriamo označil za „bezohľadný prvok“, ktorého tvrdenia by sa nemali brať vážne. Teraz, keď sa video objavilo na povrch a zdanlivo odhalilo pravdu tvrdení UIDAI, ešte len uvidíme, akú búrku vyvolá a aké ponaučenie si UIDAI vezme z trpkého poznania.
Odporúčané články
