Am Mittwoch hat die Europäische Kommission eine mobile App vorgestellt(neues Fenster), mit der Menschen ihr Alter online nachweisen können, ohne personenbezogene Daten mit Plattformen zu teilen. EU-Beamte sagten, die App sei bereit, erfülle die höchsten Standards für Privatsphäre und verwiesen auf ihren Open-Source-Code als Beweis für Transparenz.
Innerhalb weniger Stunden begannen Sicherheitsforscher jedoch damit, den Open-Source-Code zu zerlegen. Bis Donnerstag hatte der Sicherheitsberater Paul Moore die Schutzmechanismen der App in weniger als zwei Minuten umgangen(neues Fenster).
Andere bestätigten seine Ergebnisse. Die Kontrollen zur Ratenbegrenzung der App waren in einer editierbaren Datei gespeichert, die biometrische Authentifizierung konnte durch eine einfache Änderung der Konfiguration ausgeschaltet werden, und auf sensible Anmeldedaten konnte ohne sicheren Hardware-Schutz zugegriffen werden.
Die Kommission spielte die Erkenntnisse herunter und bezeichnete die Veröffentlichung als Demo-Version. Sowohl Moore als auch der französische Kryptograph Olivier Blazy widersprachen und sagten gegenüber Politico(neues Fenster), dass sie die neueste Version des Codes testeten, als sie die Schwachstellen fanden.
Später erklärte die Kommission, das Problem sei behoben, aber der Vorfall zeigt dennoch, wie anfällig diese Systeme zur Altersverifizierung sind.
Was die EU-App zur Altersverifizierung macht und was schiefgelaufen ist
Die EU-App zur Altersverifizierung ermöglicht es Menschen, ihr Alter mithilfe eines Reisepasses, eines Personalausweises oder eines vertrauenswürdigen Anbieters wie einer Bank zu verifizieren. Plattformen können die App dann bitten, zu prüfen, ob jemand über ein bestimmtes Alter ist, ohne auf die zugrunde liegenden persönlichen Daten zuzugreifen, was auch als Zero-Knowledge-Proof bekannt ist.
Die Implementierung hat dieses Design untergraben. Die EU-App zur Altersverifizierung speicherte eine verschlüsselte PIN in einer editierbaren Konfigurationsdatei auf dem Gerät, getrennt vom Identitäts-Tresor, der sensible Daten aufbewahrt. Durch das Löschen einiger Werte und das neu Starten der App kann ein Angreifer eine neue PIN festlegen und dabei Anmeldedaten aus einem vorherigen Profil wiederverwenden.
Die Kontrollen zur Ratenbegrenzung, die wiederholtes Erraten verhindern, waren als einfacher Zähler in derselben Datei gespeichert – ein Zähler, der auf Null zurückgesetzt werden kann, wodurch jeder Datensatz fehlgeschlagener Versuche gelöscht wird. Die biometrische Authentifizierung wurde durch ein einzelnes Boolean-Flag gesteuert; das Umschalten von „true“ auf „false“ übersprang die Prüfung vollständig.
Gebaut, um das Alter zu prüfen, aber nicht sicher
Nachdem Forscher den Code genutzt hatten, um dessen Schwachstellen aufzudecken, stuften Beamte die App als Demo-Version um.
Mehrere Entwickler merkten an, dass sensible Daten in einer Secure Enclave hätten gespeichert werden sollen – einem Hardware-Schutz, der auf modernen Smartphones verfügbar ist und solche Angriffe erheblich erschwert.
Doch die Schwachstellen offenbaren ein Problem, das über diese spezielle App hinausgeht. Altersverifizierung ist von Haus aus nicht sicher, da sie die Verknüpfung einer realen Identität mit einer Online-Aktion erfordert. Diese Verbindung muss irgendwo gespeichert werden, und sei es nur kurzzeitig, und wo auch immer sie existiert, wird sie zu einem Ziel für Hacker, Regierungen und jeden, der sich unbefugten Zugriff auf die zugrunde liegenden Daten verschafft. Je zentralisierter und wiederverwendbarer diese Verknüpfung wird, desto größer wird das Ziel.
Das Gesetz zur Altersverifizierung der EU soll ein einheitlicher, die Privatsphäre schützender Standard sein, der den rechtlichen Flickenteppich in den Mitgliedstaaten ersetzt. Doch die Zuversicht der Kommission, dass die App bereit sei, erwies sich als verfrüht. Mehr als 400 Forscher aus den Bereichen Privatsphäre und Sicherheit schrieben der Kommission im März(neues Fenster) und forderten ein Moratorium für den Einsatz, bis die wissenschaftlichen Erkenntnisse über Technologien zur Altersverifizierung gefestigt sind.
