In der vergangenen Woche hat die EU-Kommission erklärt, die App zur Altersverifikation sei »technisch fertig und steht in Kürze zur Verfügung«. Das Ziel: Nutzer sollen ihr Alter nachweisen können, ohne weitere persönliche Daten preiszugeben zu müssen.
Die EU-Kommissionspräsidentin Ursula von der Leyen erklärte im Rahmen der Vorstellung auch, dass die App »komplett quelloffen ist. Jeder kann den Code überprüfen« – diese Entscheidung stellte sich zumindest im Sinne der Sicherheit als richtig heraus, denn Cybersicherheitsexperten konnten die App innerhalb weniger Minuten als unsicher einstufen.
4:00
Was passiert, wenn man dem ersten Windows-Laufwerk den Buchstaben »C« wegnimmt?
"Ich habe weniger als zwei Minuten gebraucht"
In den Tagen darauf meldete sich der Sicherheitsforscher Paul Moore auf der X-Plattform mit mehreren Beiträgen zu Wort. Demnach speichere die EU-App sensible Daten auf dem genutzten Gerät und lasse diese ungeschützt.
Wenn ihr den exakten Vorgang sehen wollt, empfehlen wir euch einen Blick in den unten eingebetten X-Beitrag – der gesamte Hack dauert wie von Moore erklärt weniger als zwei Minuten.
Link zum Twitter-Inhalt
Mit seinen Anschuldigungen im Kontext der Sicherheit steht Moore nicht allein da, wie das Politico-Portal erklärt.
Der White-Hat-Hacker Baptiste Robert bestätigt diese Funde nicht nur, sondern geht auch einen Schritt weiter: Die biometrische Authentifizierung der EU-App lässt sich umgehen. Entsprechend lasse sich auf alle Daten zugreifen, ohne dass eine Autorisierung notwendig ist.
Die Altersverifizierung ist nicht das einzige EU-Digitalprojekt. Auch ein neuer Ausweis soll nächstes Jahr kommen, von dem die Hälfte aller Deutschen aber noch nie gehört hat.
Widersprüchliche Angaben zum Versionsstand
Die EU-Kommission meldete sich gegenüber Politico mit einem Versuch der Entkräftung zu Wort. Die Sicherheitsforscher haben demnach »eine Demoversion untersucht, die für Test- und Entwicklungszwecke veröffentlicht wurde«. Die monierten Schwachstellen seien inzwischen geschlossen.
Allerdings entgegen Moore sowie der ebenfalls involvierte Kryptografie-Experte Olivier Blazy über Politico, dass die obigen Tests anhand der aktuellen Online-Version (über Github erreichbar) durchgeführt wurden.
Es ist gut, dass sie die App quelloffen gemacht haben, damit Experten sie ausprobieren und testen können. Das Problem ist, dass der veröffentlichte Quellcode nicht den Standards entspricht, die wir für eine so wichtige App erwarten.
Mit diesen widersprüchlichen Angaben der involvierten Seiten ist schwer abzuschätzen, wohin die Reise für die ohnehin unter politischem Druck stehende EU-App zur Altersverifizierung geht.
Zumindest für weitere Digitalprojekte haben die Forscher einen einfachen Wunsch: »Für quelloffene Projekte wie dieses wäre es gut, vor dem Launch Security-Assessments zu veröffentlichen, damit alle den Nutzen gegen die Risiken abwägen können.«
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.