一款宣称技术已然完备的欧盟年龄验证应用程序,被网络安全专家在两分钟之内轻松攻破,这款号称契合最高隐私标准的系统,如今正由于严重安全漏洞陷入巨大争议之中。
安全专家两分钟攻破防护系统
首先发现这款应用程序致命弱点的是安全顾问保罗·穆尔,他借助研究该应用的开源代码,制作了一段视频,这段视频清晰展示了绕过系统防护的具体操作流程,整个破解过程用时不到两分钟,这使得欧盟委员会此前有关技术已经完备的说法显得极为尴尬。
本地存储的PIN码成为突破口
漏洞的关键之处在于,加密的PIN码单单存储于用户设备的本地,并未在身份识别存储区进行可靠绑定,仅需删除几个系统服务文件,攻击者便能轻易重置旧PIN码并设置新密码,而后攻击者便可全然访问之前遭验证过的所有身份数据。
配置文件暴露更多安全隐患
穆尔在进一步的检查当中发现,配置文件里存有多项严重的安全设置方面的问题,这些设置准许攻击者直接去关闭生物识别认证功能,只要把参数值从“true”更改成“false”就行,与此同时,配置文件还准许重置PIN码的输入尝试次数,这表明暴力破解变得愈发容易了。
生物识别数据被以明文存储
还更令人感到震惊不已的是,这款应用程序于用户设备之上,是以未加密的那种明文形式去存储原始生物识别数据的。用户的指纹信息能够被直接读取,自拍照片同样也能够被直接读取,这跟欧盟委员会先前关于过程保密以及匿名的官方声明,是绝对完全相互矛盾的。而这些敏感文件,从来都未曾被系统自动删除过。
漏洞出现在最终正式版本中
特别需要指出的是,上述所有问题可不是发生在测试样本当中的。穆尔予以确认,那些严重漏洞存于能够从官方渠道下载的最终版软件里呢。这也就意味着,任何已然下载并使用该应用的用户,其个人生物识别数据都面临着极高的泄露风险,这一事实着实令人深感不安呀。
欧盟回应承认缺陷但不认无能
欧盟委员会官方代表,面对外界质疑时,承认了那些缺陷是存在的,不过驳斥了有关无能的指头指责。官方代表宣称那个应用当前之时尚处于完善之阶段,现阶段现成的版本可不是用来实际进行部署所使用的呀。他们做出承诺,所有被查找发现的漏洞都会在最近的时期里面获得修复,最终的产品版本将会是在稍微靠后的时间予以发布的呢。
鉴于此篇文章看完之后,你认为欧盟委员会这般的回应能不能令人信服呢?欢迎于评论区留下你的见解,点赞并且分享给更多关注隐私安全的友人。
