Приложение ЕС для проверки возраста провалило публичные тесты на безопасность
Читать в полной версииВ ходе публичной демонстрации приложения проверки возраста в ЕС, которое было представлено Европейской комиссией, оно было взломано с минимальными усилиями. Заявления об абсолютной защите данных оказались далеки от реальности. Система, позиционируемая как полностью готовая к внедрению, не смогла противостоять даже базовым методам обхода защиты.
Источник изображения: Источник изображения: ALEXANDRE LALLEMAND/Unsplash
Во время открытого теста, как сообщает Botcrawl, исследователи смогли отключить биометрическую проверку, сбросить механизм блокировки и обойти ПИН-код, защищающий учётные данные. Приложение продолжало выдавать подтверждённый статус возраста даже после отключения всех уровней безопасности, что не потребовало сложных инструментов или глубоких знаний в реверс-инжиниринге. Такая лёгкость взлома, по мнению специалистов, свидетельствует о том, что защита была слабой изначально, а не стала результатом длительной работы белых хакеров, что противоречит утверждениям Европейской комиссии о том, что система готова к безопасному развёртыванию.
Источник изображения: botcrawl.com
Отдельные исследования выявили серьёзные проблемы с обработкой исходных биометрических данных во время сканирования документов и селфи. При NFC-сканировании приложение сохраняло изображение лица в виде файла PNG, который удалялся только после успешного завершения процесса, а в случае сбоя оставался уязвимым. С селфи ситуация оказалась хуже: фотографии записывались во внешнее хранилище в формате без потерь и в итоге часто не удалялись, создавая риск конфиденциальности.
Разрыв между обещанным и фактическим результатом трудно объяснить, отмечает Botcrawl, так как глава Еврокомиссии Урсула фон дер Ляйен (Ursula von der Leyen) «не представляла это как прототип, пилотный проект или раннюю версию, нуждающуюся в доработке перед более широким внедрением». Она описывала это как завершённый, готовый к использованию продукт. Расхождение между обещанной готовностью приложения и его реальной уязвимостью вызывает у специалистов особые опасения на фоне того, что инструмент подавался как мера защиты детей.