Die Altersverifikations-App der Europäischen Kommission wurde zum zweiten Mal von demselben Sicherheitsforscher umgangen, der Anfang dieses Jahres Fehler in der ursprünglichen Version aufgedeckt hatte. Laut dem Forscher Paul Moore konnten die jüngsten Sicherheitsupdates die zugrunde liegenden Designprobleme der Anwendung nicht beheben, sodass er die Schutzmaßnahmen mithilfe einer KI-generierten Chrome Erweiterung umgehen konnte.
Moore sagte, die neueste Version habe zusätzliche Schutzmaßnahmen eingeführt, darunter verschlüsselte Präferenzen und Root-Erkennung, argumentierte jedoch, dass diese Maßnahmen die Anwendung nur gegen grundlegende Angriffe festigten, ohne die seiner Definition als grundlegende architektonische Schwäche zu beheben. In einer online veröffentlichten Demonstration zeigte er, wie die App dennoch manipuliert werden kann, um erfolgreiche Altersverifikationsergebnisse zu erzielen.
Der Forscher argumentiert, dass das System zu viel Vertrauen in Software auf dem eigenen Gerät des Nutzers setzt, was sie anfällig für Manipulationen macht. Er argumentiert, dass Angreifer das Verhalten der Anwendung vor der Übertragung der Verifizierungsdaten ändern können, was viele lokale Sicherheitskontrollen wirkungslos macht. Moore sagte, das Problem könne nicht vollständig durch inkrementelle Patches gelöst werden und würde stattdessen eine Neugestaltung des Verifikationsmodells erfordern.
Die Ergebnisse kommen nur wenige Monate nachdem Moore gezeigt hatte, dass eine frühere Version der Anwendung in weniger als zwei Minuten umgangen werden konnte. Nach dieser Offenlegung veröffentlichte die Europäische Kommission Updates zur Stärkung der Sicherheit der App und erklärte, sie freue sich über Rückmeldungen aus der Cybersicherheitsgemeinschaft, während die Entwicklung voranschreitet.
Die Altersverifikations-App wird im Rahmen der umfassenderen Bemühungen der Europäischen Union entwickelt, Minderjährige online zu schützen und gleichzeitig die Privatsphäre der Nutzer zu wahren. Das System ist so konzipiert, dass Nutzer nachweisen können, dass sie Mindestaltersanforderungen erfüllen, ohne unnötige persönliche Informationen preiszugeben, und dient als vorübergehende Lösung vor der Einführung der EU Digital Identity Wallet.
Die Europäische Kommission hat auf Moores jüngste Demonstration öffentlich nicht reagiert. Zuvor wurde erklärt, dass das Projekt weiterhin in aktiver Entwicklung ist und die Verbesserungen vor einer breiteren Einführung fortgesetzt werden. Derzeit gibt es keine Hinweise darauf, dass die Kommission plant, die Initiative auszusetzen, trotz erneuter Kritik von Sicherheitsforschern, die argumentieren, dass ihre Architektur überdacht werden sollte.