На публичной презентации приложения для верификации возраста в ЕС, продемонстрированного Европейской комиссией, система была взломана без особых усилий. Заверения в полной защите данных оказались далеки от действительности. Платформа, позиционируемая как полностью готовая к эксплуатации, не выдержала даже простейших методов обхода защиты.
Источник изображения: Источник изображения: ALEXANDRE LALLEMAND/Unsplash
Как сообщает Botcrawl, в ходе открытого тестирования исследователям удалось деактивировать биометрическую проверку, сбросить блокировку и обойти ПИН-код, защищающий учётные данные. Даже после отключения всех уровней безопасности приложение продолжало отображать подтверждённый статус возраста, и для этого не требовалось сложных инструментов или глубоких знаний в реверс-инжиниринге. По мнению экспертов, такая простота взлома указывает на изначально слабую защиту, а не на результат длительной работы белых хакеров, что противоречит заявлениям Еврокомиссии о готовности системы к безопасному развёртыванию.
Источник изображения: botcrawl.com
Отдельные исследования выявили серьёзные недостатки в обработке исходных биометрических данных при сканировании документов и селфи. При NFC-сканировании приложение сохраняло изображение лица в формате PNG, который удалялся только после успешного завершения процесса, а в случае сбоя оставался уязвимым. Ситуация с селфи оказалась ещё хуже: фотографии записывались во внешнее хранилище в формате без потерь и зачастую не удалялись, создавая угрозу конфиденциальности.
Разрыв между обещанным и реальным результатом трудно объяснить, отмечает Botcrawl, поскольку глава Еврокомиссии Урсула фон дер Ляйен (Ursula von der Leyen) «не представляла это как прототип, пилотный проект или раннюю версию, нуждающуюся в доработке перед более широким внедрением». Она описывала его как завершённый, готовый к использованию продукт. Расхождение между заявленной готовностью приложения и его фактической уязвимостью вызывает у специалистов особое беспокойство, учитывая, что инструмент подавался как мера защиты детей.
