Европейская комиссия разрабатывает приложение для подтверждения возраста пользователей, которое должно применяться в онлайн-сервисах на территории стран ЕС. Глава ЕК Урсула фон дер Ляйен недавно заявила, что приложение "технически готово" и "скоро станет доступно гражданам". Демоверсия для Android уже опубликована на GitHub, однако исследователи безопасности утверждают, что смогли обойти защиту этой версии менее чем за две минуты.
https://x.com/Paul_Reviews/status/2044723123287666921
Британский консультант по безопасности Пол Мур опубликовал в X запись экрана, демонстрирующую, как легко украсть содержимое чужого "кошелька идентификации" и выдать его за свое. Приложение требует ввода шестизначного PIN-кода, но Мур показал, что предыдущий PIN можно просто удалить из конфигурационного файла eudi-wallet.xml, задать новый через интерфейс приложения и получить полный доступ к сохраненным верифицированным данным. Мур отметил, обращаясь к фон дер Ляйен:
Этот продукт станет катализатором масштабной утечки данных в какой-то момент. Это лишь вопрос времени.
Европейская комиссия уточнила изданию Politico, что эксплойт присутствует только в демоверсии и не попадет в финальный релиз. Цифровой представитель ЕК Томас Ренье при этом оставил пространство для манёвра, пояснив: "Когда мы говорим, что это финальная версия, это все еще демоверсия… код будет постоянно обновляться и улучшаться."
Ситуация развивается на фоне совместного обращения 400 исследователей безопасности, направленного в Европейскую комиссию в прошлом месяце. Письмо указывало на ряд проблем, в том числе на то, насколько просто обходить существующие системы оценки возраста.
Для разработки программного обеспечения такая позиция привычна, но учитывая, что приложение создавалось в рамках тендера на 4 миллиона евро, подобные формулировки вряд ли успокоят тех, кто всерьез обеспокоен сохранностью персональных данных и безопасностью детей в интернете.
