Dwie minuty wystarczyły, by zhackować aplikację UE do weryfikacji wieku
Gdy Ursula Von Der Leyen ogłaszała, że aplikacja UE do weryfikacji wieku jest już gotowa, nikt nie sądził, że tak łatwo będzie można ją zhackować. A tu okazuje się, że wystarczą zaledwie dwie minuty i po sprawie.
W zeszłą środę podczas specjalnie zwołanej konferencji prasowej, Ursula von Der Leyen chwaliła się, że unijna aplikacja do weryfikacji wieku jest już gotowa do publikacji. Powstanie aplikacji jest rezultatem walki Unii Europejskiej z niebezpiecznymi treściami w sieci i ma ona pomagać chronić dzieci przed niebezpieczeństwami, które niesie za sobą internet. Szefowa KE poinformowała także, że aplikacja była testowana w siedmiu różnych krajach, w tym m.in. we Francji, Hiszpanii czy Włoszech. Jak się jednak okazuje, testy najwidoczniej nie obejmowały kwestii zabezpieczeń aplikacji. Ta została opublikowana w wersji demonstracyjnej na platformie GitHub w formule Open Space, dzięki czemu więcej osób mogło ją przetestować. I dzięki temu dowiedzieliśmy się, że zabezpieczenia unijnej aplikacji wymagają znacznych poprawek.
Dwie minuty wystarczyły, by zhackować aplikację UE
Na portalu X pojawił się Tweet, którego autorem jest Paul Moore – konsultant ds. bezpieczeństwa. Poinformował w nim, że udało mu się zhackować unijną aplikację do weryfikacji wieku w zaledwie dwie minuty. Wytłumaczył sposób swojego działania, który jest niesamowicie prosty. Otóż w momencie konfiguracji, aplikacja prosi użytkownika o ustawienie kodu PIN, który następnie szyfruje i zapisuje w folderze shared_prefs. Folder ten jest dostępny dla każdego użytkownika danego urządzenia, więc możecie się już domyślać, jaki jest następny krok.
Tak, następnym krokiem jest wejście w ten folder i usunięcie wartości PinEnc/PinIV. Pliki nie są w żaden sposób zabezpieczone, więc wystarczy kliknąć usuń i znikają z urządzenia. Następnie wystarczy zrestartować aplikację i zaczyna się najgorsza część problemu z unijną aplikacją.
Po zrestartowaniu, aplikacja ponownie poprosi nas o ustawienie kodu PIN. Gdy już to zrobimy i przejdziemy do aplikacji, pojawią się nam poświadczenia utworzone pod starym profilem. Tym samym pojawią nam się dane osoby, która poprzednio logowała się do aplikacji, dzięki czemu można weryfikować wiek jej danymi. Ot taki sprytny sposób dla nastolatków, jak ominąć różne blokady.
KE pracuje nad naprawieniem błędu
Rzecznik KE ds. cyfryzacji Thomas Regnier odniósł się do tych informacji na konferencji prasowej. Poinformował, że obecnie dostępna wersja aplikacji to jedynie Demo, a nie w pełni gotowa wersja. Jak mogliśmy usłyszeć, kod źródłowy aplikacji został udostępniony przez KE w formule Open Space właśnie po to, by deweloperzy testowali oprogramowanie i znajdowali potencjalne luki. Regnier dodał także, że rozpoczęły się prace nad naprawieniem wspomnianych luk i wkrótce problem zniknie. Zapewnił również, że aplikacja jest projektowana z najwyższym naciskiem na ochronę prywatności i cyberbezpieczeństwo.
