Európska aplikácia na overenie veku, ktorá má používateľom umožniť dokázať svoj vek bez toho, aby internetové služby zbierali ich citlivé údaje, sa dostala pod paľbu kritiky prakticky okamžite po predstavení. Bezpečnostný konzultant Paul Moore totiž tvrdí, že jej ochranu obišiel za menej než dve minúty. Ak by sa jeho výhrady potvrdili, problém by nebol len v jednej chybe, ale v samotnom spôsobe, akým je celý systém navrhnutý.
Aplikácia má byť súčasťou širšej snahy EÚ vyriešiť online vekové overovanie citlivejšie než doteraz. Používateľ by mal vedieť potvrdiť, že je plnoletý, bez toho, aby webom odovzdával viac osobných údajov, než je nevyhnutné. Európska komisia navyše pri projekte zdôrazňuje otvorený kód a vysoký dôraz na súkromie.
Práve otvorenosť však tentoraz spôsobila aj opačný efekt. Bezpečnostní odborníci si mohli systém detailne pozrieť a veľmi rýchlo začali upozorňovať na to, že niektoré jeho ochranné mechanizmy sú navrhnuté príliš slabo.
PIN, ktorý sa dá obísť príliš jednoducho
Moore upozornil najmä na to, ako aplikácia pracuje s PIN-om. Podľa jeho opisu je PIN uložený lokálne v zašifrovanej podobe, no šifrovanie nie je pevne naviazané na samotný používateľský trezor s overovacími údajmi. V praxi to má znamenať, že po zásahu do konfiguračných súborov možno určité hodnoty vymazať, aplikáciu reštartovať a nastaviť nový PIN bez toho, aby sa stratili predtým vytvorené prístupové údaje.
Znamenalo by to, že kontrola prístupu sa dá resetovať jednoduchším spôsobom, než by pri podobne citlivom systéme bolo prijateľné.
Problémom nie je len PIN
Výhrady sa netýkajú iba jednej časti aplikácie. Moore tvrdí, že aj obmedzenie počtu pokusov o zadanie PIN-u je riešené cez jednoduché počítadlo uložené v tom istom editovateľnom konfiguračnom súbore. Ak ho niekto vynuluje, aplikácia podľa tohto opisu zabudne, koľko neúspešných pokusov už prebehlo.
Podobne kriticky znie aj pohľad na biometriu. Tá má byť podľa neho riadená jedným jednoduchým prepínačom. Ak sa zmení jeho hodnota, aplikácia biometrické overenie jednoducho úplne preskočí. Viacerí vývojári následne verejne spochybnili, prečo systém nevyužíva bezpečnostné možnosti, ktoré už štandardne ponúkajú dnešné smartfóny.
Vekové overovanie je pritom čoraz výbušnejšou témou aj mimo EÚ. Viaceré krajiny pritvrdzujú pri ochrane detí na internete a od veľkých platforiem chcú spoľahlivejšie kontroly veku. Kritici však dlhodobo varujú, že podobné systémy môžu vytvárať nové bezpečnostné riziká a koncentrovať citlivé údaje na jednom mieste.
