La fallada estaria en el disseny, que permet manipular fitxers interns per eludir el PIN i accedir a credencials vàlides. A més, funcions com el control d’intents o la biometria es podrien desactivar fàcilment.

La setmana passada Ursula von der Leyen va anunciar que l’aplicació mòbil per a verificació d’edat que feia temps que desenvolupava la Comissió Europea estava pràcticament llesta. 

Tot i això, els hackers de barret blanc han analitzat a aquesta eina que promet ser la panacea per protegir els menors.

El consultor de seguretat Paul Moore ha demostrat com n’és de fàcil hackejar el sistema. Així, ha publicat un vídeo a X on ensenya com fins i tot fent servir l’app es poden saltar les restriccions d’edat. 

Segons l’investigador, el sistema presenta vulnerabilitats crítiques que permetrien que un atacant eludís els mecanismes d’autenticació i accedir a credencials vàlides sense necessitat de trencar xifrats complexos ni dur a terme atacs sofisticats.

Un dels problemes principals rau en la gestió del PIN durant el procés de configuració. L’aplicació demana a l’usuari crear un codi que posteriorment es xifra i s’emmagatzema al directori shared_prefs del dispositiu. 

Tot i això, Moore critica que aquest enfocament és incorrecte des de la seva base, perquè el PIN no s’hauria d’emmagatzemar d’aquesta manera i, a més, no està vinculat criptogràficament al contenidor on es guarden les dades d’identitat. Aquesta desconnexió permet que un atacant elimini els valors PinEnc i PinIV del fitxer de configuració, reiniciï l’aplicació i estableixi un PIN nou sense perdre accés a les credencials prèviament generades, que encara són acceptades com a vàlides.

L’investigador també assenyala deficiències addicionals que agreugen el problema. Per exemple, el sistema de limitació d’intents (rate limiting) es basa en un comptador simple emmagatzemat en el mateix fitxer de configuració, cosa que facilita reiniciar-lo manualment i fer intents il·limitats. 

De la mateixa manera, l’autenticació biomètrica es pot desactivar modificant un valor booleà (UseBiometricAuth) en aquest mateix fitxer, cosa que elimina una altra capa important de seguretat sense cap mena de verificació addicional.

Perquè tothom ho entengui…

Per mostrar-ho de manera més clara i que resulti comprensible a tots els usuaris sense gaires coneixements tècnics Moore ha compartit un altre post a X on ho ha explicat amb termes més senzills.

«Fins i tot si l’aplicació funciona exactament com es va dissenyar, el lloc web i el procés de verificació estan completament desacoblats i són ‘anònims.», aclareix.

«L’afirmació és que l’usuari és més gran de 18 anys. En realitat, l’aplicació respon que el propietari d’aquest dispositiu Android és més gran de 18 anys. No sap qui és l’usuari… com en pot saber l’edat? Aquest és el disseny actual, no un error», insisteix.

D’altra banda, l’expert en seguretat adverteix que una vegada has iniciat sessió és molt poc probable que les pàgines web tornin a sol·licitar la verificació d’edat, de manera que aquest atac, fins i tot si pogués mitigar-se d’alguna manera, només s’aplica a les noves verificacions.