Altersverifikation: Neue EU-App nach nur zwei Minuten bereits gehackt

[HWL News Bot]

Die erst kürzlich von der Europäischen Union vorgestellte App zur Altersverifikation steht bereits kurz nach ihrer Präsentation in der Kritik. Ein Sicherheitsforscher konnte eigenen Angaben zufolge zentrale Schutzmechanismen schon innerhalb weniger Minuten umgehen. Die Anwendung soll es Nutzern ermöglichen, ihr Alter im Internet nachzuweisen, ohne persönliche Daten preiszugeben.
... weiterlesen

 

[Rollensatz]

na immerhin 2 Minuten. Das ist doch für EU Verhältnisse gar nicht mal so schlecht. Hätte ja auch schneller gehen können...Ich würde sagen die EU soll jetzt mal eine ordentliche Kommission bilden, am besten über 2 Jahre - 500 Mann/Frau. Dann passt das. Man sollte allerdings aus Fairness min 250 Beamte jeden Tag aus den verschiedenen Ländern einfliegen und wieder nach hause bringen. Ach, die brauchen noch alle ihre persönlichen Assistenten - is wohl klar + Spesenkonto aber das muss denke ich gar nicht mehr erwähnt werden...

Man könnte auch, und jetzt bin ich mal ganz keck, fast schon burschikos und behaupte einfach mal, vielleicht gibt es irgendwo in der Welt schon so ein "Altersverifikations Ding" - ja ich weiß, vermutlich nicht. Aber versuchen könnte man es doch mal. Man muss das Rad nicht unbedingt neu erfinden.

 

[Botcruscher]

Unerheblich. Die Zentrale Forderung des Regimes nach einer Registrierung wurde erreicht. Das Fundament ist gelegt, weitere Anforderungen werden folgen.

 

[Bitmaschine]

Lasst doch uns in die Zukunft gehen: Chipimplantat bei jedem zur Verifikation, Stimmenvergleich mit Codewortangabe und Augenhintergrund als gezeichnete und freigegebene Bestätigung.

 

[Tr1umph]

Was für ein schlechter Journalismus.

Man braucht Zugriff und Zugangsdaten zum Smartphone.
Das Smartphone muss gerootet sein.

Das hat nichts mit die App ist geknackt zu tun. In so nem Fall sind auch Banking Apps und alle anderen Apps "hackbar". Irgendwo müssen die Daten und Configs gespeichert sein. Wenn der User auf die gespeicherten Daten Zugriff hat wird es schwierig.

Jetzt einer ersten Demo Version daraus nen Strick zu drehen ist einfach nur billig.

Und die bisherigen Kommentare hier zum Thema belegen ein hohes Maß an Unwissenheit. Peinlich.

 

[Mr.Mito]

Ich hab das Video vor 4 Tagen auch gesehen und ja, es wird aufgebauscht. Es ist allerdings eine Schwachstelle und schlechtes Design, was man natürlich beheben sollte. Zugleich würde aber das Kind / der Jugendliche einfach die Geldbörse von Vater/Mutter/Onkel ... nehmen und den Perso daraus selbst scannen.
Der Vergleich mit der Bankingapp hinkt allerdings. Die PSD App z.B. sperrt bei Änderung der biometrischen Daten des OS den Zugang damit und verlangt einen erneuten Login. Das Problem der EU App ist ja, dass man den Zugangscode einfach zurücksetzen kann und dadurch Zugriff auf bereits hinterlegte Verifizierungsdaten bekommt. Der Pin ist nicht an die wallet gebunden und das ist schlicht weg pfusch.

Das kann und sollte man anders lösen und natürlich verhindert das auch bei gerooteten Geräten den Zugriff auf die Wallet. Wenn man dann die Pin frittiert, ist die wallet einfach kaputt.

 

[Jbdiver]

Leute bestellen sich ohne weiteres Drogen auf Telegramm, aber die bösen Erwachsenenfilme müssen unzugänglich gemacht werden. Herrlich.

 

[Liesel Weppen]

Was für ein schlechter Journalismus.

Man braucht Zugriff und Zugangsdaten zum Smartphone.
Das Smartphone muss gerootet sein.

Wo steht, das das Smartphone gerootet sein muss? Oder meinst du das mit "schlechter Journalismus"?

Hängt davon ab, wo die Configs gespeichert werden. Es wird ja sogar bemängelt, das diese "einfach zugänglich" sind und eben nicht im Trusted Storage gespeichert werden, wo sie vermutlich weniger "leicht" zugänglich wären.

Das man Zugriff auf das Smartphone braucht ist klar. Die PIN soll aber verhindern das man die App einfach nutzen kann, selbst wenn man Zugang zum Smartphone hat, weil man eben die PIN dann immernoch nicht kennt. Wenn sich die PIN aber "einfach" ausschalten/zurücksetzen kann, ist die PIN quasi nutzlos.

 

[Mr.Mito]

Ich denke er wird er wird sich angeschaut haben, wo die PIN gespeichert wird.
/data_mirror/data_ce/null/0/com.scytales.av/shared_prefs/eudi-wallet.xml

 

[Schmufix]

Ich finde es ja amüsant das es ein Ablaufdatum hat, wo Menschen doch logischerweise nur noch älter werden.

 

[Liesel Weppen]

Ich finde es ja amüsant das es ein Ablaufdatum hat, wo Menschen doch logischerweise nur noch älter werden.

Das Authverfahren könnte sich in welcher Weise auch immer ändern. Zur "Abwärtskompatibilität" lässt man alte Zertifikate eben noch funktionieren bis sie ablaufen, damit das aber nicht ewig rumschwirrt, lässt man sie ablaufen, dann muss man sich eben mit dem angepasstem Verfahren neu authentifizieren.
Wie authentifiziert man sich denn da überhaupt? Mit dem Personalausweis? Auch die laufen irgendwann ab und man braucht nen neuen. Wenn das mit dem Perso zu tun hat, kann es auch vorkommen, das man eben keinen neuen Perso bekommt, z.B. wenn man die Staatsbürgerschaft ablegt/verliert. Das ändert dann zwar auch nichts daran, das die Person schon 18+ ist, aber dann kann sie sich eben nichtmehr über EU-Maßnahmen authentifizieren.

Das wären zumindest Erklärungen, warum das imho durchaus sinnvoll sein könnte.

Beitrag automatisch zusammengeführt: Vor 42 Minuten

Leute bestellen sich ohne weiteres Drogen auf Telegramm, aber die bösen Erwachsenenfilme müssen unzugänglich gemacht werden. Herrlich.

Drogen auf Telegram bestellen ist illegal. Auch wenn es nur schwer verfolgbar ist und man wohl kaum dabei erwischt wird.
Desweiteren: https://en.wikipedia.org/wiki/Whataboutism