Европейскую систему верификации возраста взломали менее чем за две минуты

Европейская комиссия разрабатывает приложение для подтверждения возраста пользователей, которое должно применяться в онлайн-сервисах на территории стран ЕС. Глава ЕК Урсула фон дер Ляйен недавно заявила, что приложение "технически готово" и "скоро станет доступно гражданам". Демоверсия для Android уже опубликована на GitHub, однако исследователи безопасности утверждают, что смогли обойти защиту этой версии менее чем за две минуты.

Британский консультант по безопасности Пол Мур опубликовал в X запись экрана, демонстрирующую, как легко украсть содержимое чужого "кошелька идентификации" и выдать его за свое. Приложение требует ввода шестизначного PIN-кода, но Мур показал, что предыдущий PIN можно просто удалить из конфигурационного файла eudi-wallet.xml, задать новый через интерфейс приложения и получить полный доступ к сохраненным верифицированным данным. Мур отметил, обращаясь к фон дер Ляйен:

Этот продукт станет катализатором масштабной утечки данных в какой-то момент. Это лишь вопрос времени.

Европейская комиссия уточнила изданию Politico, что эксплойт присутствует только в демоверсии и не попадет в финальный релиз. Цифровой представитель ЕК Томас Ренье при этом оставил пространство для манёвра, пояснив: "Когда мы говорим, что это финальная версия, это все еще демоверсия… код будет постоянно обновляться и улучшаться."

Ситуация развивается на фоне совместного обращения 400 исследователей безопасности, направленного в Европейскую комиссию в прошлом месяце. Письмо указывало на ряд проблем, в том числе на то, насколько просто обходить существующие системы оценки возраста.

Для разработки программного обеспечения такая позиция привычна, но учитывая, что приложение создавалось в рамках тендера на 4 миллиона евро, подобные формулировки вряд ли успокоят тех, кто всерьез обеспокоен сохранностью персональных данных и безопасностью детей в интернете.