Выпущенное на прошлой неделе приложение Еврокомиссии для проверки возраста было изучено несколькими исследователями безопасности. Консультант по безопасности Пол Мур(открывается в новом окне) заявил, что взломал приложение менее чем за две минуты. Причиной он назвал то, что конфиденциальные данные на смартфоне хранились незащищённо.

Многие выводы Мура подтвердил французский белый хакер Баптист Робер, сообщает Politico(открывается в новом окне). По словам Робера, возможно обойти биометрические функции аутентификации приложения. Таким образом, можно получить доступ к приложению без авторизации с помощью PIN-кода или биометрической процедуры входа.

В разговоре с журналом исследователь криптографии Оливье Блази описывает проблему так: "Предположим, я скачал приложение и доказал, что мне больше 18 лет. Тогда мой племянник может взять мой телефон, разблокировать моё приложение и использовать его, чтобы доказать, что ему больше 18 лет.".

Еврокомиссия возражает

В ответ на запрос журнала Еврокомиссия пояснила, что на данный момент была изучена лишь ранняя демоверсия приложения для проверки возраста, потому что только она была выпущена для "тестирования и разработки". Все упомянутые проблемы безопасности, как утверждается, уже "исправлены" в более новой версии приложения.

Однако и Мур, и Блази подчёркивают, что проводили свои тесты на текущей онлайн-версии кода ЕС. "Хорошо, что они выпустили приложение с открытым исходным кодом, чтобы эксперты могли его опробовать и протестировать. Проблема в том, что опубликованный исходный код не соответствует стандартам кибербезопасности, которые мы ожидали бы от такого важного приложения", — говорит Блази.

"Мы опасались, что Комиссия поспешно выведет своё приложение на рынок, несмотря на проблемы с безопасностью, и теперь мы видим, что они хотят внедрить что-то технически незрелое", — добавляет Блази. "Такая поспешная реализация может подорвать доверие к будущим цифровым кошелькам удостоверений личности."