Európska únia zažíva jeden z najväčších technologických „trapasov“ posledných rokov. Aplikácia na overovanie veku, ktorá mala byť pýchou Bruselu a vzorom bezpečnosti, sa pod tlakom nezávislého testovania zrútila ako domček z karát. To, čo predstavitelia EÚ opisovali ako nepriestrelné riešenie, dokázal bezpečnostný analytik zosmiešniť a obísť za necelých 120 sekúnd.
Od politických chvál k technickému výsmechu
Len nedávno predsedníčka Európskej komisie Ursula von der Leyenová hrdo vyhlásila, že nová aplikácia na overovanie veku je technicky pripravená a spĺňa najvyššie svetové štandardy súkromia a že distribúcia začne čoskoro. Tento politický optimizmus však narazil na tvrdú realitu, keď si kód aplikácie pozrel bezpečnostný konzultant Paul Moore. Jeho zistenia sú pre EÚ zdrvujúce – aplikácia obsahuje chyby, ktoré sa v modernom programovaní považujú za základné amatérske zlyhania.
Moore demonštroval, že celá „nepriestrelná“ ochrana identity sa dá obísť takmer okamžite. Problém spočíva v tom, ako aplikácia narába s PIN kódom používateľa. Namiesto bezpečného prepojenia s digitálnym trezorom identity sú šifrovacie kľúče uložené lokálne v zariadení v priečinku „shared preferences“. Stačí k nim mať prístup, zmazať dve hodnoty a systém vás pustí dnu ako nového (alebo pôvodného) používateľa bez znalosti hesla.
Keď sa bezpečnosť dá vypnúť v poznámkovom bloku
Trapas však nekončí len pri nefunkčnom PIN kóde. Moore v konfiguračnom súbore odhalil ďalšie dve slabiny, ktoré pôsobia, akoby aplikáciu vyvíjal študent počas víkendového maratónu, a nie elitní vývojári pre európske inštitúcie:
- Vypnutie biometrie: Hodnota „UseBiometricAuth“ je uložená ako jednoduchý text. Zmenou z true na false útočník okamžite vypne kontrolu odtlačku prsta alebo tváre.
- Nekonečné hádanie hesla: Ochrana proti hrubej sile (rate-limiting) sa dá resetovať vynulovaním počítadla v tom istom súbore, čo umožňuje útočníkovi skúšať milióny kombinácií bez zablokovania.
Expert zdôraznil, že spoliehať sa na lokálne úložisko pri vynucovaní bezpečnostných mechanizmov je v mobilnom vývoji známy „anti-pattern“ – teda postup, ktorému by sa mal každý profesionál oblúkom vyhnúť.
Iniciatíva v ohrození a nutný reštart
Otvorený kód aplikácie (open-source), ktorý mal byť zárukou transparentnosti, sa v tomto prípade stal svedkom verejnej potupy. Moore varuje, že ak by sa aplikácia v tomto stave dostala k miliónom občanov, viedlo by to k masívnym únikom identity. Celá iniciatíva EÚ na ochranu detí a súkromia sa tak v priebehu pár dní zmenila z revolučného riešenia na obrovské kybernetické riziko.
Podľa bezpečnostných expertov aplikácia momentálne nevyžaduje len „záplatu“, ale kompletný architektonický redizajn. Kým sa tak nestane, Brusel bude musieť vysvetľovať, ako je možné, že softvér s takýmito triviálnymi chybami dostal od najvyšších predstaviteľov zelenú.
