Beveiligingslek in EU-leeftijdsapp zet vraagtekens bij digitale identiteit
Een pas gepresenteerde Europese app voor leeftijdsverificatie vertoont een opvallende zwakte. Beveiligingsonderzoeker Paul Moore meldt dat het mogelijk is om de toegangscode van gebruikers te wijzigen. Daarmee kan een aanvaller toegang krijgen tot de app. De ontdekking zorgt voor vragen over de veiligheid van digitale identificatiesystemen die in Europa worden uitgerold.
De kwetsbaarheid zit in de manier waarop de app omgaat met beveiligingsgegevens. Volgens Moore is het mogelijk om de pincode van een gebruiker te resetten. Daarvoor is wel fysieke toegang tot de smartphone nodig.
De methode is technisch, maar relatief simpel. Door bepaalde waarden in de app te verwijderen, kan bij het opnieuw opstarten een nieuwe pincode worden ingesteld. Het gaat om gegevens die worden opgeslagen in de zogenoemde ‘shared preferences’ van het toestel.
Dat betekent concreet dat iemand met toegang tot een telefoon de beveiliging kan omzeilen, zonder dat de oorspronkelijke gebruiker daar direct iets van merkt.
Open source maakt analyse mogelijk
De app is open source. Dat betekent dat de broncode openbaar is en door iedereen kan worden bekeken. Dat maakt onafhankelijke controle mogelijk, maar zorgt er ook voor dat kwetsbaarheden sneller worden gevonden.
Moore maakte gebruik van die openheid om de code te analyseren. Zijn bevindingen publiceerde hij op sociale media. Daarmee werd de kwetsbaarheid snel zichtbaar voor een breed publiek.
Opslag van gevoelige beelden
Naast het probleem met de pincode wijst de onderzoeker op een tweede risico. De app slaat selfies van gebruikers langdurig op. Die foto’s worden gebruikt voor verificatie, maar verdwijnen daarna niet automatisch.
Moore stelt: “Deze afbeeldingen worden opgeslagen in externe opslag in PNG-formaat zonder kwaliteitsverlies, maar ze worden nooit verwijderd. Geen tijdelijke opslag… maar langdurige opslag.”
Dat betekent dat gevoelige beelden op het toestel blijven staan. In theorie kunnen die worden ingezien door anderen met toegang tot het apparaat.
Zorgen over digitale identificatie
De ontdekking komt op een gevoelig moment. Europese overheden werken aan systemen waarbij burgers zich online moeten identificeren. Leeftijdsverificatie is daar een belangrijk onderdeel van, bijvoorbeeld voor toegang tot sociale media of online diensten.
De combinatie van beveiligingsproblemen en opslag van persoonlijke gegevens roept vragen op. Vooral omdat het gaat om systemen die op grote schaal gebruikt moeten worden.
Nog geen reactie bekend
Het is nog onduidelijk hoe de ontwikkelaars van de app reageren op de bevindingen. Ook is niet bekend of en wanneer de kwetsbaarheid wordt opgelost.
De kwestie onderstreept hoe belangrijk goede beveiliging is bij digitale identificatie. Zeker wanneer het gaat om toepassingen die miljoenen gebruikers moeten bedienen en gevoelige informatie verwerken.
