Os hackers levaram apenas dois minutos para invadir completamente o aplicativo de verificação de idade da UE, deixando o sistema de segurança ineficaz

Um aplicativo de verificação de idade na UE gerou polêmica depois que especialistas em segurança cibernética descobriram múltiplas vulnerabilidades. O sistema, que afirmava ser “tecnicamente completo” e atender aos “mais altos padrões de privacidade”, foi violado em menos de dois minutos. O consultor de segurança Paul Moore foi o primeiro a apontar a vulnerabilidade. Após estudar o código-fonte aberto do aplicativo, ele demonstrou em um vídeo como contornar a proteção.

A principal vulnerabilidade é que o código PIN criptografado é armazenado apenas localmente no dispositivo e não está vinculado de forma confiável à área de armazenamento de identidade. Um invasor pode simplesmente excluir alguns arquivos de serviço do sistema para redefinir PINs antigos, definir novas senhas e obter acesso total a dados de identidade previamente autenticados. Além disso, foram encontradas configurações no arquivo de configuração que permitem desligar a autenticação biométrica (alterando o valor do parâmetro de “true” para “false”) e zerar o número de tentativas de entrada do PIN. Moore observou que estas operações não requerem ferramentas complexas e podem ser concluídas em minutos.

O que é realmente chocante é que o aplicativo armazena dados biométricos “brutos” e fotos de selfie de forma não criptografada no dispositivo do usuário. Ao contrário do que afirma a Comissão Europeia relativamente à confidencialidade e anonimato do processo, estes ficheiros nunca foram automaticamente eliminados pelo sistema. Posteriormente foi confirmado que o problema acima mencionado não apareceu na amostra de teste, mas existia na versão final do software disponível para download.

Ao comentar a situação, a Comissão Europeia reconheceu deficiências, mas rejeitou as acusações de incompetência. Representantes oficiais disseram que o aplicativo ainda está em fase de refinamento e que a versão atual não se destina à implantação real. Eles prometem que todas as vulnerabilidades descobertas serão corrigidas em um futuro próximo e a versão final do produto será lançada posteriormente.