L'aplicació mòbil de verificació d'edat impulsada per la Comisión Europea presenta vulnerabilitats que permeten alterar-ne el funcionament en menys de dos minuts, segons ha demostrat el consultor de seguretat Paul Moore. L'anunci arriba pocs dies després que Ursula von der Leyen avancés que aquesta eina està pràcticament a punt.
La prova exposa diversos errors en el sistema de protecció de l'accés. Un dels punts més sensibles afecta el PIN que demana l'aplicació a l'usuari. Aquest codi es xifra i es guarda en el directori shared_prefs del dispositiu, però no queda vinculat de forma criptogràfica al contenidor on s'emmagatzemen les dades d'identitat.
Reinici del PIN sense perdre les credencials
Aquesta separació permet que un atacant elimini els valors PinEnc i PinIV del fitxer de configuració, reiniciï l'aplicació i estableixi un nou PIN sense perdre l'accés a les credencials ja generades. En la pràctica, el sistema pot quedar exposat a una reassignació del codi d'accés sense necessitat d'invalidar la identitat prèviament emmagatzemada.
Moore també ha comprovat que la limitació d'intents no resulta efectiva. El sistema de control es basa en un comptador desat en aquest mateix fitxer de configuració i es pot reiniciar manualment. Això obre la porta a fer intents il·limitats.
La biometria també pot desactivar-se
L'autenticació biomètrica tampoc queda blindada. El mecanisme es pot anul·lar modificant el valor booleà UseBiometricAuth en el fitxer de configuració. Amb aquest canvi, l'aplicació deixa d'exigir aquesta capa addicional de verificació.
Més enllà dels errors tècnics, la crítica principal es dirigeix al propi disseny del sistema. Moore sosté que el procés de validació web i la verificació en el dispositiu funcionen de manera separada i sense una comprovació real de qui està utilitzant el terminal en aquell moment.
"Fins i tot si l'aplicació funciona exactament com es va dissenyar, el lloc web i el procés de verificació estan completament desacoblats i són anònims. L'arquitectura assumeix que enviaràs la sol·licitud al teu dispositiu, que conté les teves dades biomètriques. Però pot anar a qualsevol dispositiu, a qualsevol part del món i com el telèfon no té manera de saber qui va iniciar el procés, el nen encara passa la verificació d'edat" - Paul Moore, consultor de seguretat
La verificació s'associa al dispositiu, no a l'usuari
L'expert resumeix el problema en un punt de fons. L'aplicació no acreditaria de manera efectiva l'edat de la persona que la fa servir, sinó la del propietari del mòbil on estan carregades les credencials. La validació s'associa al dispositiu Android, no a la identitat real de l'usuari en cada accés.
"L'afirmació és que l'usuari és major de 18 anys. En realitat, l'aplicació respon que el propietari d'aquest dispositiu Android és major de 18 anys. No sap qui és l'usuari... com pot saber la seva edat? Aquest és el disseny actual, no un error" - Paul Moore, consultor de seguretat
La demostració reobre el debat sobre la fiabilitat del futur sistema europeu de verificació d'edat just quan el seu desplegament semblava imminent. Les objeccions plantejades afecten tant la protecció tècnica de l'aplicació com la validesa del model triat per acreditar la majoria d'edat.