週三,歐盟執委會推出了一款行動應用程式(新視窗),旨在讓使用者在不向平台共享 個人資料 的情況下證明其線上年齡。歐盟官員表示該應用程式已準備就緒,符合最高隱私標準,並指出其 開源 代碼就是透明度的證明。
然而,在幾小時內,安全研究人員便開始解析這些開源代碼。到了週四,安全顧問 Paul Moore 已在 不到兩分鐘的時間內繞過了該應用程式的防護措施(新視窗)。
其他人也確認了他的發現。該應用程式的速率限制控制項儲存在一個可編輯的檔案中,生物特徵驗證 只需更改簡單的組態即可關閉,且無需安全硬體保護即可存取敏感憑證。
執委會淡化了這些發現,稱該發布版本為示範版本。Moore 和法國密碼學家 Olivier Blazy 均對此予以反駁,並告訴 Politico(新視窗),他們在發現漏洞時測試的是最新版本的代碼。
隨後,執委會表示問題已修復,但此事件仍顯示出這些年齡驗證系統有多麼脆弱。
歐盟年齡驗證應用程式的功能及其出錯原因
歐盟年齡驗證應用程式讓使用者可以使用護照、國民身分證或銀行等信任的提供者來 驗證其年齡。平台隨後可以要求應用程式檢查某人是否超過特定年齡,而無需存取底層個人資料,這也被稱為零知識證明。
其實作方式削弱了該設計。歐盟年齡驗證應用程式將加密的 PIN 儲存在裝置上一個可編輯的組態檔案中,與存放 敏感資料 的身分保管庫分開。透過刪除幾個值並重新啟動應用程式,攻擊者可以設定新的 PIN,同時重複使用先前設定檔中的憑證。
防止重複猜測的速率限制控制項以簡單計數器的形式儲存在同一個檔案中,且該計數器可以重設為零,從而消除任何失敗嘗試的記錄。生物特徵驗證由單個布林旗標控制;將其從 true 切換為 false 即可完全略過檢查。
旨在檢查年齡,但安全性不足
在研究人員利用代碼揭露其缺陷後,官員們將該應用程式重新定義為示範版本。
多位開發人員指出,敏感資料應儲存在安全圍域(Secure Enclave)中,這是現代智慧型手機上提供的硬體級保護,能使此類攻擊難度大幅增加。
但這些漏洞揭示了一個超出此特定應用程式範圍的問題。年齡驗證在本質上是不安全的,因為它需要將真實身分與線上行為連結。該連結必須儲存在某個地方,即使是暫時性的,且無論它存在於何處,都會成為駭客、政府以及任何獲得底層資料 未經授權存取 權限的人的目標。該連結越中心化且越可重複使用,目標就越大。
歐盟的 年齡驗證法 旨在建立一個單一且保護隱私的標準,以取代各成員國正在形成的法律拼湊現狀,但執委會對於應用程式已準備就緒的信心證明為時過早。400 多名隱私和安全研究人員在 三月致函執委會(新視窗),要求在年齡驗證技術的科學定論達成前暫緩部署。
