歐盟年齡驗證應用程序因網路安全專家發現多處漏洞而引發爭議。 這款宣稱"技術已完備"且符合"最高隱私標準"的系統,在不到兩分鐘內即被攻破。安全顧問保羅·穆爾率先指出其薄弱環節,他在研究該應用程序的開源代碼後,通過影片演示了繞過防護的具體操作流程。
關鍵漏洞在於加密的PIN碼僅儲存於設備本地,且未與身份識別儲存區進行可靠綁定。攻擊者只需刪除幾個系統服務文件,即可重置舊PIN碼、設置新密碼,進而完全訪問先前已驗證過的身份數據。此外,配置文件中被發現存在允許關閉生物識別認證(將參數值從"true"修改為"false")以及重置PIN碼輸入嘗試次數的設置項。穆爾指出,這些操作無需複雜工具,數分鐘內即可完成。
真正令人震驚的是,該應用在用戶設備上以未加密形式儲存了"原始"生物識別數據及自拍照片。與歐盟委員會關於過程保密與匿名的聲明相悖,這些文件從未被系統自動刪除。隨後證實,上述問題並非出現在測試樣本中,而是存在於可供下載的最終版軟體中。
歐盟委員會在評論該情況時承認存在缺陷,但駁斥了關於無能的指責。官方代表表示,該應用尚處於完善階段,當前版本並非用於實際部署。他們承諾所有發現的漏洞將在近期內修復,最終產品版本將在稍後發布。
