EU lanserte alderssjekk-app – hackere knakk den på to minutter

Sikkerhetseksperter fant store hull i EU-appen.

EU-kommisjonens president Ursula von der Leyen presenterte forrige uke en ny app som skal sjekke folks alder på nettet. Appen skal brukes når land forbyr barn å bruke sosiale medier.

Appen lar brukere verifisere alderen sin via pass, nasjonal ID eller gjennom banker. Teknologiplattformer kan spørre appen om en person er over en viss alder, uten å få tilgang til persondata.

– Den er teknisk klar, sa von der Leyen under lanseringen i Brussel.

Hun sa også at appen har en åpen kildekode og at alle kan sjekke appen.

Cybersikkerhetseksperter kastet seg raskt over kildekoden, men fant store problemer med appen.

Sikkerhetsrådgiver Paul Moore fant at appen lagrer sensitive data på brukerens telefon uten beskyttelse. Han hevdet å ha hacket appen på under to minutter.

– Seriøst, von der Leyen? Dette produktet vil før eller siden utløse et gigantisk databrudd. Det er bare et spørsmål om tid, skriver Moore.

Den franske hackeren Baptiste Robert bekreftet funnene overfor Politico. Han sa at det var mulig å omgå appens biometriske sikkerhet, slik at man kunne slippe å taste inn PIN-kode eller bruke biometrisk innlogging.

– La oss si at jeg lastet ned appen og beviste at jeg er over 18. Da kan nevøen min ta telefonen min, låse opp appen og bruke den til å bevise at han er over 18, forklarer kryptografiforsker Olivier Blazy til avisen.

EU-kommisjonen forsvarte fredag appen og sa den fortsatt er «teknisk klar». Talsperson Thomas Regnier kalte det en «demoversjon» som ikke er tilgjengelig for borgere ennå.

– Koden vil bli konstant oppdatert og forbedret, sa Regnier.

Både Moore og Blazy sa at de testet den nyeste versjonen av koden.