Onsdag afslørede Europa-Kommissionen en mobilapp(nyt vindue) designet til at lade folk bevise deres alder online uden at dele personlige data med platforme. EU-embedsmænd sagde, at appen var klar, opfyldte de højeste standarder for privatliv, og henviste til dens open-source-kode som bevis på gennemsigtighed.
Inden for få timer begyndte sikkerhedsforskere dog at pille open-source-koden fra hinanden. Torsdag havde sikkerhedskonsulent Paul Moore omgået appens beskyttelse på under to minutter(nyt vindue).
Andre bekræftede hans fund. Appens hastighedsbegrænsende kontroller var lagret i en fil, der kan redigeres, biometrisk godkendelse kunne slås fra med en simpel konfigurationsændring, og følsomme legitimationsoplysninger var tilgængelige uden sikker hardwarebeskyttelse.
Kommissionen nedtonede resultaterne og kaldte udgivelsen for en demoversion. Både Moore og den franske kryptograf Olivier Blazy gjorde modstand og fortalte Politico(nyt vindue), at de testede den nyeste version af koden, da de fandt fejlene.
Senere sagde Kommissionen, at problemet var løst, men hændelsen viser stadig, hvor sårbare disse systemer til aldersbekræftelse er.
Hvad EU’s app til aldersbekræftelse gør, og hvad der gik galt
EU’s app til aldersbekræftelse lader folk bekræfte deres alder ved hjælp af et pas, et nationalt id-kort eller en betroet udbyder som en bank. Platforme kan derefter bede appen om at kontrollere, om en person er over en vis alder uden at få adgang til de underliggende personlige data, også kendt som nul-kendskab-bevis (zero-knowledge proof).
Implementeringen underminerede dette design. EU’s app til aldersbekræftelse lagrede en krypteret PIN i en konfigurationsfil på enheden, som kunne redigeres, adskilt fra den identitetsboks, der opbevarer følsomme data. Ved at slette nogle få værdier og genstarte appen kan en angriber indstille en ny PIN, mens legitimationsoplysninger fra en tidligere profil genbruges.
De hastighedsbegrænsende kontroller, der forhindrer gentagne gæt, blev lagret som en simpel tæller i den samme fil, som kan nulstilles til nul, hvilket sletter enhver registrering af mislykkede forsøg. Biometrisk godkendelse blev kontrolleret af et enkelt boolesk flag; ved at ændre det fra sandt til falsk sprang man kontrollen helt over.
Bygget til at kontrollere alder, men ikke sikkert
Efter forskere brugte koden til at afsløre dens fejl, omdefinerede embedsmænd appen som en demoversion.
Flere udviklere bemærkede, at følsomme data burde have været lagret i en sikker enklave, en hardwarebeskyttelse tilgængelig på moderne smartphones, der gør disse angreb meget sværere.
Men sårbarhederne afslører et problem, der rækker ud over denne specifikke app. Aldersbekræftelse er ikke sikker i sit design, da det kræver, at en reel identitet knyttes til en online handling. Dette link skal lagres et sted, selv kortvarigt, og uanset hvor det befinder sig, bliver det et mål for hackere, regeringer og alle, der får uautoriseret adgang til de underliggende data. Jo mere centraliseret og genanvendeligt linket bliver, desto større bliver målet.
EU’s lov om aldersbekræftelse er ment som en fælles standard for beskyttelse af privatlivets fred, der erstatter det juridiske kludetæppe, der tager form i medlemsstaterne, men Kommissionens tillid til, at appen var klar, viste sig at være forhastet. Mere end 400 forskere inden for privatliv og sikkerhed skrev til Kommissionen i marts(nyt vindue) og bad om et moratorium for implementering, indtil videnskaben om teknologien til aldersbekræftelse er faldet på plads.
