Приложение Евросоюза для проверки возраста вызвало скандал из-за многочисленных уязвимостей, обнаруженных специалистами по кибербезопасности. Заявленная как "технически готовая" и соответствующая "высочайшим стандартам приватности" система была взломана менее чем за две минуты. Первым на слабые места указал консультант по безопасности Пол Мур, который после изучения открытого исходного кода приложения продемонстрировал процедуру обхода защиты на видео.
Критическая уязвимость была связана с тем, что зашифрованный PIN-код хранился локально на устройстве без надежной привязки к хранилищу идентификационных данных. Удалив всего несколько служебных файлов, злоумышленник может сбросить старый PIN-код, установить новый и получить полный доступ к ранее верифицированным данным. Помимо этого, в конфигурационных файлах были найдены параметры, позволяющие отключить биометрическую аутентификацию (изменив значение с "true" на "false") и сбросить счетчик попыток ввода кода. По словам Мура, эти манипуляции не требуют сложных инструментов и могут быть выполнены за считанные минуты.
Настоящей сенсацией стала информация о том, что приложение хранит на устройстве пользователя "сырые" биометрические данные и селфи в незашифрованном виде. Вопреки заявлениям Еврокомиссии о конфиденциальности и анонимности процесса, эти файлы никогда не удаляются системой. Позднее было подтверждено, что найденные проблемы касаются не тестового образца, а финальной версии программного обеспечения, доступной для скачивания.
Ситуация вызвала жесткую реакцию со стороны основателя Telegram Павла Дурова. Он раскритиковал архитектуру приложения, заявив, что система "изначально построена на уязвимой архитектуре и может стать шагом к расширению цифрового контроля". По мнению Дурова, инцидент со взломом может быть использован как предлог для превращения добровольного сервиса в обязательный механизм тотальной слежки.
Еврокомиссия, комментируя ситуацию, признала наличие недостатков, но отвергла обвинения в некомпетентности. Официальные представители заявили, что приложение находится в стадии доработки и не предназначено для реального использования в текущем виде. Они пообещали, что все найденные уязвимости будут исправлены в ближайшее время, а итоговая версия продукта появится позже.
