MADRID 17 abr. (Portaltic/EP) -
Um consultor de segurança “hackeou” o aplicativo de verificação de idade da União Europeia para analisar e testar seu funcionamento, bem como revelar seus pontos fracos.
A Comissão Europeia apresentou nesta quarta-feira o novo aplicativo para verificar a idade dos usuários que acessam as redes sociais e, assim, garantir que as plataformas respeitem os limites de acesso de menores de idade.
Na ausência de detalhes técnicos sobre esse aplicativo, o consultor de segurança Paul Moore decidiu testar a segurança que ele oferece e, após sua análise, afirma ter conseguido hackeá-lo “em menos de dois minutos”.
Ele compartilha isso em uma publicação na rede X, onde explica e mostra, por meio de um vídeo, o problema de privacidade que identificou. Em primeiro lugar, o aplicativo solicita um PIN de quatro a seis dígitos para acessá-lo posteriormente. Esse PIN é criptografado e armazenado em um arquivo.
Moore indicou que o PIN não deveria estar criptografado, pois se trata de um “projeto realmente deficiente” e, além disso, não está vinculado criptograficamente ao repositório que contém os dados de identidade.
Posteriormente, o consultor conseguiu demonstrar como é possível apagar o PIN de criptografia do arquivo do aplicativo e acessar o perfil configurado anteriormente. “Um invasor pode simplesmente excluir os valores PinEnc/PinIV do arquivo shared_prefs e reiniciar o aplicativo”, observou.
Depois que um PIN diferente é escolhido, o aplicativo apresenta as credenciais criadas no perfil anterior, permitindo que o invasor as apresente como legítimas.
Além disso, ele identificou problemas em outros parâmetros dentro do aplicativo, como o “rate limiting” ou “UseBiometricAuth”. Este último se apresenta como uma variável "booleana" que pode ser omitida.
Além de mostrar as falhas do aplicativo, Moore enviou um aviso à presidente da Comissão Europeia, Ursula von der Leyen: "Este produto acabará causando uma grande brecha em algum momento. É apenas uma questão de tempo”.
No entanto, o aplicativo testado por Moore não é a versão definitiva, já que von der Leyen afirmou que ele estará pronto “muito em breve”, sem oferecer um cronograma claro. Contudo, o aplicativo encontra-se atualmente em um programa piloto para a França, Dinamarca, Grécia, Itália, Espanha e Irlanda.
Esta notícia foi traduzida por um tradutor automático