⚡ Терміново
UkrPulse
UkrPulse
Кібербезпека

ЄС додаток для перевірки віку зламали за 2 хвилини

· 2 хв читання
ЄС додаток для перевірки віку зламали за 2 хвилини
ЄС представив додаток для перевірки віку, який мав захистити підлітків від контенту для дорослих. Проте, вже за кілька хвилин після запуску, експерти виявили критичні вразливості, що роблять систему безпеки абсолютно неефективною.

Додаток ЄС для перевірки віку зламали за дві хвилини

У середу Європейський Союз представив новий додаток, розроблений для верифікації віку користувачів. Його основна мета – обмежити доступ неповнолітніх до контенту для дорослих в інтернеті, а також усунути необхідність для вебсайтів збирати конфіденційні персональні дані. Ідея полягала в тому, що користувач підтверджує свій вік за допомогою ID-документів, при цьому сайти не отримують жодних зайвих персональних даних.

Проте, вже за кілька днів після офіційного релізу, навколо проєкту спалахнув гучний скандал, як пише видання Politico. Дослідники виявили, що додаток можна обійти буквально за дві хвилини.

Критичні вразливості системи безпеки

Британський консультант з питань кібербезпеки Пол Мур продемонстрував, що захист програми є вразливим через спосіб зберігання даних на пристрої користувача. Зокрема, частина інформації про PIN-код зберігається локально у конфігураційних файлах, які можна легко змінити.

Це дозволяє фактично "скинути" захист. Якщо видалити певні значення, пов'язані з PIN-кодом, з конфігураційних файлів додатка, а потім перезапустити його, зловмисник може задати новий PIN-код. При цьому зберігається доступ до облікових даних, створених у рамках попереднього профілю. По суті, додаток починає приймати раніше створені дані ідентифікації як дійсні вже в рамках нового механізму доступу.

Дослідники також виявили додаткові вразливості, які ще більше спрощують спроби підбору або обходу захисту:

  • Нескінченні спроби PIN-коду: Обмеження кількості спроб введення PIN-коду реалізовано як звичайний лічильник. Його можна вручну скинути до нуля, що дозволяє вгадувати комбінації необмежену кількість разів.
  • Обхід біометричної аутентифікації: Біометрична аутентифікація керується лише одним простим перемикачем у налаштуваннях. Змінивши його значення з "true" на "false", додаток повністю вимикає перевірку за біометрією та пропускає цей етап.

Розробники та незалежні експерти вже висловили серйозні сумніви щодо архітектури застосунку, наголошуючи, що чутливі дані аутентифікації не повинні бути доступними для редагування користувачем.

Широкий контекст: обмеження доступу підлітків до соцмереж

Реалізація цього проєкту відбувається на тлі зростання кількості ініціатив у різних країнах світу, спрямованих на обмеження або повну заборону доступу підлітків до соціальних мереж. Першою країною, яка запровадила такі заходи, стала Австралія. Подібні кроки активно обговорюються у Франції, Іспанії, Польщі та інших країнах, що підкреслює глобальну актуальність проблеми захисту неповнолітніх у цифровому просторі.

Джерело: unian
#ЄС #вразливість #безпека #Вік #кібербезпека. #додаток #зламали

Поділитись:

Facebook Telegram Viber Twitter/X

Читайте також