サイバーセキュリティの専門家が複数の脆弱性を発見したことを受け、EUの年齢確認アプリが物議を醸した。このシステムは「技術的に完全」で「最高のプライバシー基準」を満たしていると主張していたが、2分も経たないうちに侵害された。この脆弱性を最初に指摘したのは、セキュリティ コンサルタントの Paul Moore 氏です。同氏はアプリケーションのオープンソースコードを調査した後、保護を回避する方法をビデオで実演した。
主要な脆弱性は、暗号化された PIN コードがデバイスのローカルにのみ保存され、ID ストレージ領域に確実にバインドされていないことです。攻撃者は、いくつかのシステム サービス ファイルを削除するだけで、古い PIN をリセットし、新しいパスワードを設定し、以前に認証された ID データに完全にアクセスできるようになります。さらに、構成ファイルには、生体認証をオフにする (パラメーター値を「true」から「false」に変更する) ことや、PIN 入力の試行回数をリセットすることを可能にする設定が見つかりました。ムーア氏は、これらの操作には複雑なツールは必要なく、数分で完了できると指摘しました。
本当に衝撃的なのは、アプリが「生の」生体認証データと自撮り写真を暗号化されていない形式でユーザーのデバイスに保存していることです。プロセスの機密性と匿名性に関する欧州委員会の声明に反して、これらのファイルはシステムによって自動的に削除されることはありませんでした。その後、上記の問題はテスト サンプルには発生せず、ダウンロード可能なソフトウェアの最終バージョンには存在することが確認されました。
欧州委員会はこの状況についてコメントし、欠点は認めたが、無能だという非難は却下した。公式担当者は、アプリはまだ改良段階にあり、現在のバージョンは実際の展開を意図していないと述べた。彼らは、発見されたすべての脆弱性が近い将来に修正され、最終製品バージョンが後日リリースされることを約束しています。