In drei Sätzen: Sicherheitsexperten haben kritische Schwachstellen in der Altersverifizierungs-App der Europäischen Union aufgedeckt. Paul Moore demonstrierte, wie Angreifer mit einfachen Dateiänderungen auf dem Smartphone den PIN, die Biometrie und Sperren umgehen können. Die Kommission stellte die App gestern als technisch bereit vor, um Minderjährige online zu schützen.
Der Auslöser: Nur einen Tag nach der Ankündigung von Ursula von der Leyen, die App sei technisch fertig und erfülle höchste Datenschutzstandards, veröffentlichte ein Sicherheitsexperte einen Hack. Die Demonstration zeigt, dass die Referenzimplementierung grundlegende Designfehler aufweist.
Wer sagt was:
- Ursula von der Leyen erklärte in einer Pressemitteilung: „Unsere europäische App zur Altersverifizierung ist technisch bereit und wird den Bürgern bald zur Verfügung stehen. Sie respektiert die weltweit höchsten Datenschutzstandards.“
- Paul Moore, der die Schwachstelle demonstrierte, warnte hingegen: „Dieses Produkt wird irgendwann der Auslöser für eine gewaltige Datenschutzverletzung sein. Es ist nur eine Frage der Zeit.“
Das Sittenbild: Die App soll anonym das Alter prüfen, ohne volle Daten preiszugeben. Doch in der Demo Version reicht lokaler Dateizugriff aus, um alle Schutzmechanismen auszuhebeln. Das wirft Zweifel an der Praxistauglichkeit auf.
Das große Ganze: Die App ist eine Open Source Blueprint für Mitgliedstaaten, die sie an nationale eID Systeme anpassen müssen. Sie soll DSA Anforderungen erfüllen und Plattformen von eigenen Verifizierungen entlasten.
Zwischen den Zeilen:
- Angreifer greifen auf die internen Einstellungsdateien des Smartphones zu, die jede Android-App in einem Ordner namens shared_prefs speichert.
- Dort löschen sie einfach die beiden Einträge PinEnc und PinIV, also die verschlüsselte Version des zuvor gesetzten PIN-Codes.
- Nach einem Neustart der App merkt diese nicht mehr, dass ein PIN existiert, und lässt den Nutzer einen neuen, beliebigen PIN festlegen.
- Die bereits gespeicherten und verifizierten Identitätsdaten (das „Age Credential“) bleiben jedoch unverändert im Hintergrund erhalten.
- So kann der Angreifer mit seinem neuen PIN auf die ursprünglichen, echten Altersnachweise des Opfers zugreifen und diese später gegenüber Webseiten oder Plattformen vorlegen.
- Der Schutz gegen zu viele falsche PIN-Eingaben besteht lediglich aus einem einfachen Zähler in derselben Textdatei, der sich auf null zurücksetzen lässt.
- Dadurch kann ein Angreifer beliebig oft raten oder weiter testen, ohne dass die App sperrt.
- Auch die biometrische Prüfung per Gesicht oder Fingerabdruck ist nur ein einfacher Ja/Nein-Schalter in derselben Datei. Wird dieser auf „aus“ gestellt, überspringt die App die Biometrie komplett.
Follow the money: Die Entwicklung der Blueprint erfolgte durch Partner wie Scytáles und T-Systems. Genaue Kosten sind nicht bekannt.
Die andere Sicht: Es handelt sich um eine Test-Version mit bewussten Vereinfachungen für Entwickler. Produktionsversionen in den Mitgliedstaaten sollen härter gesichert sein.
Warum das wichtig ist: Selbst bei Open Source Code und hohen Ansprüchen scheitert die Umsetzung an grundlegenden Fehlern. Am Ende riskiert die EU mit solchen Tools genau das, was sie verhindern will, nämlich den Vertrauensverlust in digitale Identitäten durch vermeidbare Pannen.
Quellen:
