W połowie kwietnia pojawiła się informacja o błyskawicznym złamaniu zabezpieczeń prototypowej aplikacji Unii Europejskiej służącej do weryfikacji wieku EU Age Verification App. Brytyjski badacz udowodnił, że sforsowanie bariery ochronnej systemu zajmuje mniej niż 120 sekund. Incydent ten wywołał ogólnoeuropejską dyskusję nad bezpieczeństwem portfela tożsamości cyfrowej (EUDI Wallet).
EUDI Wallet ma stać się powszechnym, eurupejskim odpowiednikiem naszego mObywatela i po raz kolejny warto z jednej strony podkreślić polską innowacyjność, a z drugiej strony zaznaczyć, że współczesne rozwiązania cyfrowe są bardzo szybko wypierane przez nowe.
Przypomnijmy, że aplikacja mObywatel nie spełnia wymogów unijnego rozporządzenia eIDAS 2.0, co w praktyce oznacza konieczność zaprojektowania jej od nowa.
Słabości EU Age Veriation App
Analiza przeprowadzona przez Paula Moore’a oraz niezależne grupy audytowe (m.in. Simply Secure) wykazała, że aplikacja w wersji testowej posiadała błędy na poziomie architektury logicznej.
Bypass limitu prób (Brute Force): aplikacja teoretycznie blokowała dostęp po kilku nieudanych próbach wpisania PIN-u. Okazało się jednak, że licznik tych prób był zapisywany w zwykłym, edytowalnym pliku lokalnym. Haker mógł zresetować licznik do zera za pomocą prostej komendy, co pozwalało na nieskończone próby odgadnięcia hasła.
Lokalne przechowywanie kluczy: mechanizm autoryzacji opierał się na plikach konfiguracyjnych, do których dostęp (na telefonach z uprawnieniami administratora lub po fizycznym podłączeniu do komputera) był nieograniczony. Pozwalało to na ręczną zmianę zapisanego numeru PIN bez znajomości starego kodu.
Wyłączenie biometrii jednym kliknięciem: zabezpieczenia takie jak FaceID czy czytnik linii papilarnych można było całkowicie dezaktywować poprzez zmianę pojedynczej wartości logicznej (z true na false) w kodzie konfiguracyjnym aplikacji.
To na razie tylko teoria i prototyp
Ważne jest rozróżnienie między teoretyczną podatnością a realnym atakiem. Aby wykorzystać luki odkryte przez Moore’a, napastnik musiałby:
- mieć fizyczny dostęp do telefonu;
- odblokować sam ekran główny;
- posiadać zaawansowaną wiedzę techniczną, by edytować pliki systemowe aplikacji.
Dla przeciętnego użytkownika, który nie zgubił telefonu, ryzyko było więc bliskie zeru. Jednak dla instytucji państwowej, która ma gwarantować najwyższy standard bezpieczeństwa, obecność takich błędów w kodzie jest kompromitująca.
Rzecznik Komisji Europejskiej ds. cyfryzacji podkreślił w oświadczeniu, że analizowany kod pochodził z repozytorium open source i służył celom demonstracyjnym.
– Celem udostępnienia kodu źródłowego było właśnie to, co się wydarzyło – zaangażowanie społeczności do znalezienia błędów przed oficjalnym wdrożeniem systemu dla 450 milionów obywateli – wyjaśniano w komunikacie.
Aplikacja w wersji testowej rzeczywiście została zhakowana w warunkach laboratoryjnych.
Eksperci przyznają rację tej argumentacji, zaznaczając jednak, że obecność tak elementarnych błędów w oficjalnym prototypie świadczy o dużym pośpiechu przy pracach programistycznych.
Co dalej z weryfikacją wieku w UE?
Incydent ten wymusił na deweloperach zmianę podejścia do tzw. Secure Element – fizycznego chipu w smartfonach (podobnego do tego używanego przy płatnościach zbliżeniowych), w którym docelowo mają być przechowywane dane dotyczące tożsamości. Dzięki temu dane mają być odseparowane od reszty systemu operacyjnego, co uniemożliwiłoby ataki oparte na edycji plików konfiguracyjnych.
UE zapowiedziała dodatkowe audyty zewnętrzne i zwiększenie nacisku na zabezpieczenia sprzętowe (hardware-level security).
Czytaj także:
