Приложение ЕС для проверки возраста пользователя «можно взломать за пару минут»

Флагманский проект Европейского союза, призванный дать гражданам возможность подтверждать свой возраст в интернете без раскрытия личных данных, подвергся жёсткой критике всего через несколько дней после официального запуска. Причиной стали заявления исследователя в области компьютерной безопасности, который обошёл основные меры защиты приложения менее чем за две минуты.

Приложение, которое президент Европейской комиссии Урсула фон дер Ляйен рекламировала как «технически готовое» и созданное в соответствии с «высшими стандартами конфиденциальности», должно было стать панацеей для новых строгих законов ЕС о безопасности в интернете. Вместо этого тщательный анализ его открытого исходного кода — функции прозрачности, которой хвастался ЕС, — выявил то, что эксперты называют фундаментальными архитектурными недостатками, превращающими инструмент в потенциальный канал для мошенничества с личными данными.

Консультант по безопасности Пол Мур подробно описал способ обхода защиты в серии постов на X (ранее Twitter), отметив уязвимость настолько элементарную, что она граничит с фарсом. По словам Мура, приложение шифрует PIN-код пользователя и хранит его локально. Однако критическая ошибка заключается в том, что это шифрование не привязано к реальному хранилищу идентификационных данных пользователя. Эта оплошность позволяет любому, у кого есть доступ к файловой системе устройства — или вредоносному ПО, маскирующемуся под программу для очистки файлов, — просто удалить значения PIN-кода, перезапустить приложение, установить новый код и без проблем вернуться в ранее подтверждённую учётную запись.

«Серьёзно, фон дер Ляйен — этот продукт рано или поздно станет причиной масштабной утечки данных. Это лишь вопрос времени», — предупредил Мур.

Проб