Zurück zur Startseite

EU-Altersverifikations-Schwachstellen: Architekturanalyse

Analyse kritischer architektureller Schwachstellen in der offiziellen EU-Altersverifikations-App. Wir zerlegen, warum lokale PIN-Verschlüsselung und Biometrie-Verwaltung über Konfigurationsdateien das System unsicher machen.

So hackt man das EU-Altersverifikationssystem in 2 Minuten
Advertisement 728x90

# Schwachstellen in der EU-Altersverifikation: Wie lokale PIN-Verschlüsselung die Privatsphäre untergräbt

Die Europäische Union hat eine Altersverifikations-App eingeführt, die das Alter bestätigt, ohne personenbezogene Daten preiszugeben, doch nur Tage nach der Veröffentlichung deckte ein Sicherheitsforscher kritische architekturelle Schwächen auf. Das System, das als Erfüllung der höchsten Datenschutzstandards positioniert wird, lässt sich in der Praxis in weniger als zwei Minuten umgehen – aufgrund von Fehlern bei der lokalen Speicherung und der Implementierung der PIN-Verwaltung.

Architekturelle Schwachstelle statt Schutz

Das Kernproblem besteht darin, dass die PIN-Verschlüsselung nicht an eine sichere Speicherung von Benutzeridentifikationsdaten gebunden ist. Die App speichert den verschlüsselten PIN lokal, doch der Verifizierungsmechanismus nutzt keine hardwaregeschützten Komponenten (wie Trusted Execution Environment oder Secure Enclave). Dadurch ist physischer oder softwarebasierter Zugriff auf das Dateisystem des Geräts möglich, was das Löschen oder Ersetzen der PIN-Datei erlaubt.

Nach einem Neustart der App kann der Nutzer einen neuen Code festlegen und vollen Zugriff auf das zuvor verifizierte Konto erhalten. Das widerspricht grundlegenden Prinzipien der sicheren Anmeldeinformationsspeicherung und zeigt ein Fehlen von Bedrohungsmodellierung in der Planungsphase.

Google AdInline article slot

Umgehung biometrischer und Anti-Brute-Force-Schutzmechanismen

Zusätzliche Schutzschichten erwiesen sich als ebenso anfällig:

  • Der Anti-Brute-Force-Mechanismus wird über eine textbasierte Konfigurationsdatei umgesetzt, die den Zähler für fehlgeschlagene Versuche speichert. Ein Angreifer kann diesen Zähler einfach zurücksetzen und unbegrenzt Brute-Force-Angriffe durchführen.
  • Die biometrische Authentifizierung wird durch eine boolesche Flagge in derselben Konfigurationsdatei gesteuert. Eine Änderung des Werts von true auf false deaktiviert die Anforderung für Gesichts- oder Fingerabdrucks扫描 vollständig.
  • Fehlende Konfigurationsintegrität: Die App überprüft keine digitalen Signaturen oder Hashes der Konfigurationsdateien, was Manipulationen trivial macht.

Diese Schwächen deuten auf ein grundlegendes Missverständnis der Prinzipien der zero-trust architecture hin: Das System vertraut dem Client-Gerät, obwohl es als potenziell kompromittiert behandelt werden sollte.

Auswirkungen auf Regulierungsrichtlinien und digitale Identität

Der Vorfall stellt das gesamte Modell der digitalen Identifikation auf Basis von clientseitiger Software ohne serverseitige Überprüfung kritischer Parameter infrage. Während EU-Gesetzgeber den Zugang von Minderjährigen zu bestimmten Inhalten einschränken wollen, führt die technische Umsetzung neue Angriffsvektoren ein.

Google AdInline article slot

Es ist entscheidend zu erkennen: Selbst Open-Source-Code garantiert keine Sicherheit, wenn die Architektur von Anfang an fehlerhaft ist. Transparenz ermöglichte eine schnelle Erkennung der Schwachstellen, verhinderte deren Entstehung aber nicht. Dies unterstreicht die Notwendigkeit obligatorischer unabhängiger Sicherheitsaudits vor dem Masseneinsatz solcher Systeme.

Wichtige Erkenntnisse

  • Lokale PIN-Verschlüsselung ohne Bindung an Hardware-Speicher ist gegen lokale Angriffe nutzlos.
  • Sicherheitskonfigurationsparameter müssen vor Änderungen geschützt werden (durch Signaturen, Hashes oder Isolation).
  • Biometrische Authentifizierung darf nicht durch eine einfache Flagge in einer editierbaren Datei gesteuert werden.
  • Open-Source-Code ist notwendig, aber nicht ausreichend, um Datenschutz zu gewährleisten.
  • Das Motto „vertrauen, aber überprüfen“ gilt nicht für digitale ID-Systeme: Es muss „niemals vertrauen, immer überprüfen“ heißen.

Entwickler solcher Lösungen müssen das Client-Gerät als unzuverlässige Umgebung behandeln. Jede Daten, die Zugriffsstufen beeinflusst, muss serverseitig oder in einer isolierten, für Nutzer-Apps unzugänglichen Umgebung verifiziert werden.

— Editorial Team

Google AdInline article slot
Advertisement 728x90

Weiterlesen