Приложение для проверки возраста в ЕС вызвало споры после того, как эксперты по кибербезопасности обнаружили множество уязвимостей. Система, которая утверждала, что она «технически завершена» и отвечает «самым высоким стандартам конфиденциальности», была взломана менее чем за две минуты. Консультант по безопасности Пол Мур был первым, кто указал на уязвимость. Изучив открытый исходный код приложения, он на видео продемонстрировал, как обойти защиту.
Ключевая уязвимость заключается в том, что зашифрованный PIN-код хранится только локально на устройстве и не привязан надежно к области хранения личных данных. Злоумышленник может просто удалить несколько системных служебных файлов, чтобы сбросить старые ПИН-коды, установить новые пароли и получить полный доступ к ранее проверенным идентификационным данным. Кроме того, в файле конфигурации были обнаружены настройки, позволяющие отключить биометрическую аутентификацию (изменение значения параметра с «true» на «false») и сбросить количество попыток ввода PIN-кода. Мур отметил, что эти операции не требуют сложных инструментов и могут быть выполнены за считанные минуты.
Что действительно шокирует, так это то, что приложение хранит «необработанные» биометрические данные и селфи-фотографии в незашифрованном виде на устройстве пользователя. Вопреки заявлениям Европейской комиссии относительно конфиденциальности и анонимности процесса, эти файлы никогда не удалялись системой автоматически. Впоследствии было подтверждено, что вышеупомянутая проблема не проявлялась в тестовом образце, но существовала в финальной версии ПО, доступной для скачивания.
Комментируя ситуацию, Еврокомиссия признала недостатки, но отвергла обвинения в некомпетентности. Официальные представители заявили, что приложение все еще находится на стадии доработки и текущая версия не предназначена для фактического развертывания. Обещают, что все обнаруженные уязвимости будут исправлены в ближайшее время, а финальная версия продукта выйдет позднее.