EU:s åldersapp hackad på under två minuter efter lansering
Foto: Freepik
EU-kommissionens nya app för åldersverifiering, presenterad av kommissionsordförande Ursula von der Leyen på onsdagen, har fått omedelbar kritik från cybersäkerhetsexperter som hittade allvarliga säkerhets- och integritetsproblem i koden.
Känslig data lämnades oskyddad
Säkerhetskonsulten Paul Moore granskade appen inom några timmar efter lansering och publicerade ett klipp på X där han visar hur han tog sig in i systemet på under två minuter. Han konstaterade att appen lagrar känsliga användaruppgifter på telefonen utan skydd.
– Seriöst, Ursula von der Leyen, den här produkten kommer att bli föremål för ett enormt intrång förr eller senare. Det är bara en tidsfråga, skriver Moore och taggar EU-kommissionens ordförande direkt.
Den franske white hat-hackaren Baptiste Robert bekräftade flera av bristerna för Politico och uppgav att det går att kringgå appens biometriska autentisering, vilket innebär att en användare kan komma in utan PIN-kod eller Touch ID.
Kryptografiforskaren Olivier Blazy, del av en fransk arbetsgrupp för digital identitet, illustrerade problemet med ett konkret exempel.
– Säg att jag laddar ner appen och bevisar att jag är över 18. Då kan min brorson ta min telefon, låsa upp appen och använda den för att bevisa att han är över 18, säger Blazy till Politico.
Kommissionen håller fast vid att appen är klar
Trots kritiken vidhåller EU-kommissionen att appen är redo. EU-kommissionens talesperson Paula Pinho svarade på frågor under fredagen med att appen är tekniskt färdig, men tillade att den alltid kan förbättras.
Den digitala talespersonen Thomas Regnier nyanserade dock bilden något och uppgav att det som nu finns tillgängligt egentligen är en demoversion. Han tillade att koden kontinuerligt uppdateras och att han inte kan utesluta att ytterligare ändringar krävs.
Kommissionen har även hävdat att hackarna undersökte en tidigare testversion av appen, inte den slutliga produkten.
Von der Leyen presenterade appen som ett verktyg för att skydda barn från skadligt innehåll online. Appen ska fungera på alla enheter, vara helt anonym och bygga på öppen källkod, vilket innebär att länder utanför EU också kan använda den. Flera EU-länder planerar redan att integrera den i sina nationella digitala identitetsplånböcker.
Händelsen har snabbt utvecklats till en PR-kris för Bryssel och blottar djupare meningsskiljaktigheter mellan integritetsförespråkare, barnrättsorganisationer, techföretag och politiker om hur minderåriga bäst skyddas på nätet. Appen är ännu inte tillgänglig för allmänheten.
