Ahir Ursula von der Leyen va presentar a Brussel·les l’app europea de verificació d’edat amb pompa institucional: “els estàndards de privacitat més alts del món”, “no més excuses” per a les plataformes, i una comparació amb el Green Pass de la COVID

lalgorisme@infosec.exchange

Ahir Ursula von der Leyen va presentar a Brussel·les l’app europea de verificació d’edat amb pompa institucional: “els estàndards de privacitat més alts del món”, “no més excuses” per a les plataformes, i una comparació amb el Green Pass de la COVID.
En menys de 24 hores, investigadors de seguretat han publicat diverses vulnerabilitats. Cap és menor. La majoria són errors de disseny greus que no haurien passat cap auditoria seriosa per a una app mòbil d’aquest nivell, si aquesta s’hagués dut a terme.

Bypass del PIN en menys de 2 minuts:

L’app xifra el PIN, però el xifratge no està lligat criptogràficament al vault q conté les dades d’identitat. Esborrant uns valors del fitxer i reiniciant l’app, pots definir PIN nou mantenint l’accés a les credencials creades amb l’anterior.

Rate limiting de fireta:

El comptador d’intents fallits està guardat com un simple valor editable. El poses a zero i el sistema oblida quants cops s’han produït logins fallits, deixant via lliure als atacs de força bruta.

Biometria controlada amb booleà:

L’autenticació biomètrica es regula amb un sol flag true/false al fitxer de configuració. Canviar-lo la desactiva. Diversos informes apunten que allò lògic hagués estat fer servir el Secure Enclave (xip dedicat i aïllat que incorporen els mòbils).

Fonts:
- https://cybernews.com/security/eu-age-verification-app-hack

- https://discuss.privacyguides.net/t/new-eu-age-verification-has-been-hacked-in-under-2-minutes/37185