„Tahle aplikace je k smíchu“: Aplikace pro ověřování věku, kterou představila Uršula von der Leyenová, byla již hacknuta, a to bez nutnosti pokročilých hackerských dovedností. (Foto: X)

Paul_Reviews zveřejnil podrobný návod, jak lze tuto aplikaci obejít za méně než 2 minuty přímo z jejího rozhraní.

Cílem Evropské komise je, aby do roku 2030 mělo přístup k řešení digitální identifikace (EUDI Wallet) až 80 % Evropanů.

Hacknutí aplikace #EU #AgeVerification za méně než 2 minuty.

Během nastavení vás aplikace vyzve k vytvoření PIN kódu. Po jeho zadání jej aplikace zašifruje a uloží do adresáře shared_prefs.

  1. Neměl by být šifrován vůbec – to je opravdu špatný návrh.
  2. Není kryptograficky vázán na trezor, který obsahuje identifikační údaje.

Útočník tedy může jednoduše odstranit hodnoty PinEnc/PinIV ze souboru shared_prefs a restartovat aplikaci.

Po výběru jiného PINu aplikace předloží přihlašovací údaje vytvořené v rámci starého profilu a umožní útočníkovi je předložit jako platné.

Další problémy:

  1. Omezení rychlosti je vzestupně se zvyšující číslo ve stejném konfiguračním souboru. Stačí jej resetovat na 0 a zkoušet to dál.
  2. „UseBiometricAuth“ je logická hodnota, rovněž v tom samém souboru. Nastavte ji na false a tento krok se prostě přeskočí.

Vážně @vonderleyen
– tento produkt bude v určitém okamžiku katalyzátorem obrovského úniku dat. Je to jen otázka času.

Paul Reviews