AB lansează aplicația de verificare a vârstei, hack-uită în 2 minute

Pe scurt

• Aplicația de verificare a vârstei a Uniunii Europene a fost lansată pe 14 aprilie 2023.
• Paul Moore, consultant de securitate, a reușit să o hack-ui în mai puțin de două minute.
• Sistemul are multiple vulnerabilități care pot fi exploatate de atacatori.
• Comisia Europeană a anunțat actualizări ale aplicației după descoperirea acestor probleme.

Noua aplicație de verificare a vârstei, lansată de Uniunea Europeană pe 14 aprilie 2023, permite utilizatorilor să-și verifice vârsta prin intermediul pașaportului sau al cărții de identitate. Ursula von der Leyen, președintele Comisiei Europene, a descris aplicația ca fiind „o soluție prietenoasă cu standarde ridicate de confidențialitate”. Cu toate acestea, descoperirile recente privind securitatea acesteia pun la îndoială aceste afirmații. Consultantul de securitate Paul Moore a reușit să dezactiveze complet mecanismul de autentificare al aplicației în doar două minute.

Ce vulnerabilități a găsit Paul Moore în aplicație?

Paul Moore a identificat două erori arhitecturale fundamentale în aplicația de verificare a vârstei. În primul rând, PIN-ul utilizatorului este stocat criptat într-un fișier local numit „shared_prefs”, dar nu este legat criptografic de sistemul care gestionează datele de autentificare. În al doilea rând, metoda de criptare utilizată permite modificarea ușoară a fișierului, ceea ce înseamnă că un atacator cu acces fizic poate șterge valorile PinEnc și PinIV, resetând aplicația și stabilind un nou PIN, fără a fi detectat.

Această vulnerabilitate permite atacatorului să acceseze aplicația cu o nouă identitate, fără ca vechile date de autentificare să fie invalidate. De asemenea, alte mecanisme de securitate, cum ar fi limitările pentru atacurile brute-force, sunt extrem de simple și pot fi ușor manipulate, oferind atacatorilor posibilitatea de a efectua încercări nelimitate.

Ce măsuri a luat Comisia Europeană?

După ce Paul Moore a făcut publice aceste descoperiri, Comisia Europeană a reacționat rapid, anunțând că aplicația a fost actualizată pentru a remedia problemele identificate. Cu toate acestea, aceste vulnerabilități inițiale ridică semne de întrebare cu privire la utilizarea viitoare a acestui sistem în cadrul identității digitale europene, care ar putea avea un impact semnificativ asupra securității datelor personale ale utilizatorilor.

În concluzie, problemele de securitate ale aplicației de verificare a vârstei subliniază necesitatea unei evaluări mai riguroase a sistemelor digitale implementate de Uniunea Europeană, pentru a preveni eventuale breșe de securitate în viitor.

Întrebări frecvente

Ce este aplicația de verificare a vârstei a Uniunii Europene?

Este o aplicație lansată pe 14 aprilie 2023, care permite utilizatorilor să-și verifice vârsta prin pașaport sau carte de identitate.

Cine a descoperit vulnerabilitățile aplicației?

Paul Moore, un consultant de securitate din Marea Britanie, a identificat aceste vulnerabilități.

Ce probleme de securitate au fost găsite în aplicație?

Aplicația are erori arhitecturale care permit atacatorilor să o hack-uiască rapid și să manipuleze datele de autentificare.

Ce măsuri a luat Comisia Europeană după descoperirea vulnerabilităților?

Comisia a anunțat actualizări ale aplicației pentru a remedia problemele de securitate identificate.