14 септември, 2019

Специализирани хакери деактивират защитните функции на софтуера и разпространяват действията си по Whatsapp. Съхраняваните данни за идентичност на Aadhaar в Индия, която съдържа биометричните данни и личната информация на над 1 милиард индийци, е била компрометирана от софтуерен пач, който забранява критичните защити на системата, използван за записване на нови потребители. Това разкрива HuffPost India.

Пачът, достъпен само за 35 долара, позволява на неоторизирани лица, базирани навсякъде по света, да генерират данни от Aadhaar.

Това има значителни последици за националната сигурност в момент, когато Индийското правителство се е опитало да превърне Aadhaar в номенклатурен златен стандарт за идентификация на гражданите, дори за използването на мобилен телефон за достъп до банкова сметка.

Фирмите често използват пачове за незначителни актуализации на съществуващи програми, но могат да бъдат използвани и за вреди чрез въвеждане на уязвимост – както в този случай.

HuffPost India притежава този пач и е анализиран от трима международно признати експерти и двама индийски анализатори (единият от които е потърсил анонимност, докато работи в държавно финансиран университет), за да установи, че:

  • Пачът позволява на потребителя да заобиколи критични функции за сигурност, като например биометрично удостоверяване на операторите за записване, за да генерира неразрешени номера на Aadhaar.
  • Пачът забранява вградената функция за сигурност на GPS (използвана за идентифициране на физическото разположение на всеки център за записване), което означава, че всеки дали от Пекин, Карачи или Кабул – може да използва софтуера за записване на потребители.
  • Намалява чувствителността на системата за разпознаване на ириса на записващия софтуер, което улеснява фалшификацията на софтуера с снимка на регистриран оператор, вместо да се изисква операторът да присъства лично.

Експертите, консултирани от HuffPost India, заявиха, че уязвимостта е присъща на технологичния избор, направен в началото на програмата Aadhaar, което означава, че определянето й и други бъдещи заплахи ще наложат промяна на основната структура.

Източник: HuffPost India

Тагове: , , , , , ,