Фото: Franck / Unsplash
Апликацијата за верификација на возраста која Европската комисија ја претстави пред само два дена и за која претседателката Урсула фон дер Лајен рече дека почитува „највисоки стандарди за приватност во светот“, веќе е хакирана.
Британскиот безбедносен консултант Пол Мур на 16 април објави демонстрација каде што целосно го заобиколува автентикацискиот систем за помалку од две минути и тоа преку едноставно уредување на локална конфигурациска датотека на Android телефон.
Мур откри дека апликацијата го складира шифрираниот PIN во папката shared_prefs, но проблемот е двоен. Според него, PIN воопшто не треба да биде шифриран на тој начин, а покрај тоа шифрирањето не е криптографски поврзано со „идентитетскиот трезор“ каде се чуваат самите верификациски податоци.
Со бришење на одредени вредности од конфигурациската датотека и рестартирање на апликацијата, напаѓач може да постави нов PIN, а притоа да го задржи пристапот до акредитивите создадени под претходниот профил.
Додатно, заштитата од повторени обиди (rate limiting) може да се заобиколи со едноставна промена на броителот во конфигурациската датотека назад на нула, што овозможува неограничено погодување на PIN-от без блокирање.
Биометриската автентикација, пак, може целосно да се оневозможи со менување на „UseBiometricAuth“ вредноста од true во false. Тоа значи дека чувствителни автентикациски податоци се директно достапни и изменливи од страна на корисникот, што е основен безбедносен пропуст.
Поради овие наоди, Мур јавно се обрати до фон дер Лајен со остра порака дека „овој производ во одреден момент ќе биде повод за огромно пробивање на податоци, тоа е само прашање на време“.
Критиките доаѓаат од поширока заедница, а Cybernews пренесува дека повеќе програмери се прашуваат зошто Комисијата не ги искористила безбедните хардверски компоненти (secure enclave) кои се достапни на сите модерни смартфони, а други пак поставуваат основно логичко прашање, зошто доказот за возраст има рок на траење кога по наполнети 18 години никој не се подмладува назад.
Некои од овие забелешки беа пренесени и низ пошироката онлајн заедница, каде и профили како Pirat_Nation ја сумираа најавата на Комисијата за пошироката јавност.
Сепак, критичкиот тон дојде пред сè од безбедносната заедница, а не од социјалните мрежи.
Европската комисија до 17 април сè уште не објави официјална закрпа ниту јавен одговор на откриените ранливости. Ова е особено проблематично имајќи предвид дека апликацијата е замислена како прототип за поширокиот европски екосистем на дигитален идентитетски паричник (European Digital Identity Wallet), а шест земји-членки меѓу кои Франција, Шпанија и Данска веќе се во пилот-фаза.
Јасно е дека пропустите во архитектурата откриени во овие први денови не се козметичко прашање, туку нешто што ги потврдува токму стравувањата за кои пишувавме при најавата, дека задолжителното поврзување на онлајн активноста со државни документи создава нови точки на ранливост кои можат да бидат цел на сајбер напади.
