Новото приложение на ЕС за проверка на възрастта беше хакнато само за 2 минути

Изледователят по киберсигурност Пол Мур демонстрира, че новото приложение на ЕС за проверка на възрастта може да бъде компрометирано за по-малко от две минути – достатъчно е едно елементарно редактиране на файл в Android устройство. В социалната мрежа X Мур публикува видео със запис на екрана, в което демонстрира как се извършва хакването.

Първоначално изследователят премина през стандартната настройка: приложението предложи създаването на 6-цифрен PIN код, потвърждаването му, избирането на метод за проверка и получаването на официални цифрови данни 18+. На този етап всичко работи както трябва.

След това обаче Мур отвори файловия мениджър, влезе в папката shared_prefs и изтри криптираните записи на ПИН кода от файла eudi-wallet.xml. След рестартиране на приложението той успя да зададе нов ПИН код и получи достъп до вече съществуващите данни.

Същият конфигурационен файл отговаря и за други функции за сигурност. Ако се нулира параметърът за ограничение на опитите, ПИН код може да се въвежда безкрайно, а при замяна на еднa булева стойност, биометричната проверка се изключва напълно. Според думите на изследователя, всичко това се прави за няколко минути и не изисква сложни инструменти.

Тази демонстрация се появи няколко дни след като ЕС обяви приложението за технически завършено. Председателката на Европейската комисия Урсула фон дер Лайен го представи като решение с отворен код и „високо ниво на поверителност“, както и призова страните да го внедрят, за да защитят децата в интернет.

Трябва да се отбележи, че в GitHub хранилището изрично се посочва: това е ранен вариант на приложението, при който нивото на сигурност и поверителност е по-ниско от това на крайния продукт и не се препоръчва използването му в реални условия.

Въпреки това Мур предупреди, че подобни уязвимости могат да доведат до големи проблеми в бъдеще. Към момента видеото му е събрало над 3 млн. преглеждания.