Na quarta-feira, a Comissão Europeia revelou um aplicativo móvel(nova janela) projetado para permitir que as pessoas comprovem sua idade on-line sem compartilhar dados pessoais com plataformas. Autoridades da UE afirmaram que o aplicativo estava pronto, atendia aos mais altos padrões de privacidade e apontaram seu código de código aberto como prova de transparência.
Em poucas horas, no entanto, pesquisadores de segurança começaram a analisar o código de código aberto. Na quinta-feira, o consultor de segurança Paul Moore contornou as proteções do aplicativo em menos de dois minutos(nova janela).
Outros confirmaram suas descobertas. Os controles de limitação de taxa do aplicativo estavam armazenados em um arquivo editável, a autenticação biométrica podia ser desativada com uma simples alteração de configuração e credenciais confidenciais estavam acessíveis sem proteção de hardware segura.
A Comissão minimizou as descobertas, chamando o lançamento de uma versão demo. Tanto Moore quanto o criptógrafo francês Olivier Blazy rebateram, dizendo ao Politico(nova janela) que estavam testando a versão mais recente do código quando encontraram as falhas.
Mais tarde, a Comissão disse que o problema foi corrigido, mas o incidente ainda mostra como esses sistemas de verificação de idade são vulneráveis.
O que o aplicativo de verificação de idade da UE faz e o que deu errado
O aplicativo de verificação de idade da UE permite que as pessoas verifiquem sua idade usando um passaporte, uma identidade nacional ou um provedor de confiança, como um banco. As plataformas podem então solicitar que o aplicativo verifique se alguém tem mais de uma certa idade sem acessar os dados pessoais subjacentes, também conhecido como prova de conhecimento zero.
A implementação comprometeu esse design. O aplicativo de verificação de idade da UE armazenava um PIN criptografado em um arquivo de configuração editável no dispositivo, separado do cofre de identidade que guarda dados confidenciais. Ao excluir alguns valores e reiniciar o aplicativo, um invasor pode definir um novo PIN enquanto reutiliza credenciais de um perfil anterior.
Os controles de limitação de taxa que impedem tentativas repetidas eram armazenados como um simples contador no mesmo arquivo, o qual pode ser redefinido para zero, apagando qualquer registro de tentativas falhas. A autenticação biométrica era controlada por uma única sinalização booleana; alterná-la de verdadeiro para falso pulava a verificação inteiramente.
Criado para verificar idades, mas sem segurança
Depois que os pesquisadores usaram o código para expor suas falhas, as autoridades reformularam o aplicativo como uma versão demo.
Vários desenvolvedores notaram que os dados confidenciais deveriam ter sido armazenados em um enclave seguro, uma proteção a nível de hardware disponível em smartphones modernos que torna esses ataques muito mais difíceis.
Mas as vulnerabilidades expõem um problema que vai além deste aplicativo em particular. A verificação de idade não é segura por design, porque exige a vinculação de uma identidade real a uma ação on-line. Esse link precisa ser armazenado em algum lugar, mesmo que brevemente, e onde quer que ele esteja, torna-se um alvo para hackers, governos e qualquer pessoa que obtenha acesso não autorizado aos dados subjacentes. Quanto mais centralizado e reutilizável esse link se torna, maior fica o alvo.
A lei de verificação de idade da UE pretende ser um padrão único de preservação da privacidade que substitua a colcha de retalhos jurídica que está se formando nos Estados-Membros, mas a confiança da Comissão de que o aplicativo estava pronto revelou-se prematura. Mais de 400 pesquisadores de privacidade e segurança escreveram à Comissão em março(nova janela) pedindo uma moratória na implementação até que a ciência sobre a tecnologia de verificação de idade se consolide.
