# Zranitelnosti v ověřování věku EU: jak lokální šifrování PIN kódu podkopává soukromí
Evropská unie spustila aplikaci pro ověření věku bez odhalení osobních údajů, ale již několik dní po vydání bezpečnostní výzkumník odhalil kritické architektonické nedostatky. Systém, prezentovaný jako splňující nejvyšší standardy soukromí, v praxi umožňuje obejít ochranu za méně než dvě minuty – kvůli chybám v implementaci lokálního ukládání a správy PIN kódu.
Architektonická zranitelnost místo ochrany
Hlavní problém spočívá v tom, že šifrování PIN kódu není vázáno na zabezpečené úložiště identifikačních údajů uživatele. Aplikace ukládá zašifrovaný PIN lokálně, ale mechanismus jeho ověření nevyužívá hardwarově chráněné komponenty (např. Trusted Execution Environment nebo Secure Enclave). To umožňuje fyzický nebo softwarový přístup k souborovému systému zařízení s následným odstraněním nebo nahrazením souboru s PIN kódem.
Po restartu aplikace může uživatel nastavit nový kód a získat plný přístup k dříve ověřenému účtu. Tento přístup je v rozporu s základními principy bezpečného ukládání přihlašovacích údajů a ukazuje na absenci modelu hrozeb v fázi návrhu.
Obcházení biometrické a anti-brute-force ochrany
Další vrstvy ochrany se ukázaly stejně zranitelnými:
- Anti-brute-force mechanismus je implementován prostřednictvím textového konfiguračního souboru, kde je uložen počítadlo neúspěšných pokusů. Útočník může tento počítadlo jednoduše resetovat a pokračovat v prolomení nekonečně.
- Biometrická autentizace je řízena booleanovou vlajkou ve stejném konfiguračním souboru. Změna hodnoty z
truenafalseúplně vypne požadavek na skenování obličeje nebo otisku prstu. - Absence integrity konfigurace: aplikace neprověřuje digitální podpis nebo hash konfiguračních souborů, což činí jejich modifikaci triviální.
Tyto chyby ukazují na zásadní nedorozumění principů zero-trust architecture: systém důvěřuje klientskému zařízení, přestože právě ono má být považováno za potenciálně kompromitované.
Důsledky pro regulační politiku a digitální identitu
Tento incident zpochybňuje samotný model digitální identifikace založený na klientském softwaru bez serverové verifikace kritických parametrů. Zatímco zákonodárci EU usilují o omezení přístupu nezletilých k určitému obsahu, technická realizace vytváří nové vektory útoků.
Je klíčové pochopit: i otevřený zdrojový kód negarantuje bezpečnost, pokud je architektura od začátku chybná. Transparentnost umožnila rychle odhalit zranitelnosti, ale nezabránila jejich vzniku. To podtrhuje nutnost povinných nezávislých bezpečnostních auditů před masovým nasazením takových systémů.
Co je důležité
- Lokální šifrování PIN kódu bez vazby na hardwarové úložiště je zbytečné proti lokálním útokům.
- Konfigurační parametry bezpečnosti musí být chráněny před modifikací (pomocí podpisů, hashů nebo izolace).
- Biometrická autentizace nesmí být řízena jednoduchou vlajkou v editovatelném souboru.
- Otevřený zdrojový kód je nutnou, ale nedostatečnou podmínkou pro zajištění soukromí.
- Model „důvěřuj, ale ověřuj“ není použitelný pro systémy digitální identifikace: vyžaduje se „nedůvěřuj, vždy ověřuj“.
Vývojáři podobných řešení musí brát v úvahu, že klientské zařízení je nespolehlivé prostředí. Jakékoli údaje ovlivňující úroveň přístupu musí být ověřovány na serverové straně nebo v izolovaném prostředí nedostupném uživatelským aplikacím.
— Editorial Team
Zatím žádné komentáře.