2 Remove Virus

EU-leeftijdsverificatie-app opnieuw omzeild ondanks recente beveiligingsupdates

De leeftijdsverificatie-app van de Europese Commissie is voor de tweede keer omzeild door dezelfde beveiligingsonderzoeker die eerder dit jaar de fouten in de oorspronkelijke release aan het licht bracht. Volgens onderzoeker Paul Moore hebben recente beveiligingsupdates de onderliggende ontwerpproblemen van de applicatie niet opgelost, waardoor hij de bescherming kon omzeilen met een door AI gegenereerde Chrome extensie.

 

 

Moore zei dat de nieuwste versie extra beschermingen introduceerde, waaronder versleutelde voorkeuren en rootdetectie, maar betoogde dat deze maatregelen de applicatie alleen maar versterkten tegen basisaanvallen zonder dat wat hij omschreef als een fundamentele architecturale zwakte werd opgelost. In een online gepubliceerde demonstratie liet hij zien hoe de app nog steeds gemanipuleerd kon worden om succesvolle leeftijdsverificatieresultaten te leveren.

De onderzoeker stelt dat het systeem te veel vertrouwen hecht aan software die op het eigen apparaat van de gebruiker draait, waardoor deze kwetsbaar is voor manipulatie. Hij betoogt dat aanvallers het gedrag van de applicatie kunnen aanpassen voordat verificatiegegevens zijn verzonden, waardoor veel lokale beveiligingsmaatregelen ineffectief worden. Moore zei dat het probleem niet volledig kan worden opgelost door incrementele patches en dat het verificatiemodel opnieuw ontworpen moet worden.

De bevindingen komen slechts enkele maanden nadat Moore aantoonde dat een eerdere versie van de applicatie in minder dan twee minuten kon worden omzeild. Na die onthulling bracht de Europese Commissie updates uit die bedoeld waren om de beveiliging van de app te versterken en zei dat zij feedback van de cybersecuritygemeenschap verwelkomde naarmate de ontwikkeling vorderde.

De leeftijdsverificatie-app wordt ontwikkeld als onderdeel van de bredere inspanning van de Europese Unie om minderjarigen online te beschermen en tegelijkertijd de privacy van gebruikers te waarborgen. Het systeem is ontworpen om gebruikers in staat te stellen aan te tonen dat ze aan de minimumleeftijdsvereisten voldoen zonder onnodige persoonlijke informatie prijs te geven, en is bedoeld als tijdelijke oplossing vóór de uitrol van de EU Digital Identity Wallet.

De Europese Commissie heeft niet publiekelijk gereageerd op Moore’s laatste demonstratie. Eerder is aangegeven dat het project nog steeds in actieve ontwikkeling is en dat verbeteringen zullen doorgaan voordat ze breder worden uitgerold. Op dit moment is er geen aanwijzing dat de Commissie van plan is het initiatief op te schorten, ondanks hernieuwde kritiek van veiligheidsonderzoekers die stellen dat de architectuur heroverwogen moet worden.