Eine EU-App zur Altersverifizierung hat Kontroversen ausgelöst, nachdem Cybersicherheitsexperten mehrere Schwachstellen entdeckt hatten. Das System, das angeblich „technisch vollständig“ sei und die „höchsten Datenschutzstandards“ erfülle, wurde in weniger als zwei Minuten gehackt. Der Sicherheitsberater Paul Moore wies als Erster auf die Schwachstelle hin. Nachdem er den Open-Source-Code der Anwendung studiert hatte, demonstrierte er in einem Video, wie man den Schutz umgeht.

Die größte Schwachstelle besteht darin, dass der verschlüsselte PIN-Code nur lokal auf dem Gerät gespeichert wird und nicht zuverlässig an den Identitätsspeicherbereich gebunden ist. Ein Angreifer kann einfach ein paar Systemdienstdateien löschen, um alte PINs zurückzusetzen, neue Passwörter festzulegen und vollen Zugriff auf zuvor authentifizierte Identitätsdaten zu erhalten. Darüber hinaus wurden in der Konfigurationsdatei Einstellungen gefunden, die es ermöglichen, die biometrische Authentifizierung auszuschalten (Änderung des Parameterwerts von „true“ auf „false“) und die Anzahl der PIN-Eingabeversuche zurückzusetzen. Moore wies darauf hin, dass diese Vorgänge keine komplexen Werkzeuge erfordern und in wenigen Minuten abgeschlossen werden können.

Was wirklich schockierend ist, ist, dass die App „rohe“ biometrische Daten und Selfie-Fotos in unverschlüsselter Form auf dem Gerät des Benutzers speichert. Entgegen den Aussagen der Europäischen Kommission zur Vertraulichkeit und Anonymität des Verfahrens wurden diese Dateien nie automatisch vom System gelöscht. Anschließend wurde bestätigt, dass das oben genannte Problem nicht im Testmuster auftrat, sondern in der endgültigen Version der zum Download verfügbaren Software bestand.

In ihrem Kommentar zur Situation räumte die Europäische Kommission Mängel ein, wies jedoch Vorwürfe der Inkompetenz zurück. Offizielle Vertreter sagten, die App befinde sich noch in der Verfeinerungsphase und die aktuelle Version sei nicht für den tatsächlichen Einsatz vorgesehen. Sie versprechen, dass alle entdeckten Schwachstellen in naher Zukunft behoben werden und die endgültige Produktversion zu einem späteren Zeitpunkt veröffentlicht wird.