NEWS
Altersverifikation
Neue EU-App nach nur zwei Minuten bereits gehackt
Die erst kürzlich von der Europäischen Union vorgestellte App zur Altersverifikation steht bereits kurz nach ihrer Präsentation in der Kritik. Ein Sicherheitsforscher konnte eigenen Angaben zufolge zentrale Schutzmechanismen schon innerhalb weniger Minuten umgehen. Die Anwendung soll es Nutzern ermöglichen, ihr Alter im Internet nachzuweisen, ohne persönliche Daten preiszugeben.
Der Sicherheitsberater Paul Moore veröffentlichte seine Analyse kurz nach der offiziellen Vorstellung. Zuvor hatte EU-Kommissionspräsidentin Ursula von der Leyen die Anwendung als technisch ausgereift und datenschutzfreundlich beschrieben. Moore widerspricht dieser Einschätzung deutlich und sieht grundlegende Schwächen im Design der Software.
Im Fokus der Kritik steht unter anderem die Art, wie die App mit Zugangsdaten umgeht. Laut Moore wird eine verschlüsselte PIN lokal gespeichert, ohne ausreichend mit dem eigentlichen Identitätsspeicher verknüpft zu sein. Durch das gezielte Löschen bestimmter Einträge in den Konfigurationsdateien könne ein Angreifer die PIN zurücksetzen und sich gleichzeitig Zugriff auf bestehende Identitätsdaten verschaffen.
Weitere Schwachstellen betreffen grundlegende Sicherheitsmechanismen. Die Begrenzung von PIN-Eingaben, die eigentlich Brute-Force-Angriffe verhindern soll, lässt sich offenbar einfach umgehen. Der Zähler für Fehlversuche wird ebenfalls lokal gespeichert und kann manuell zurückgesetzt werden. Ähnliche Probleme zeigen sich bei der biometrischen Authentifizierung, die sich durch eine Änderung von Konfigurationswerten deaktivieren lässt.
Auch aus der Entwickler-Community kommt Kritik. Fachleute bemängeln, dass sensible Daten in einer Form gespeichert werden, die vergleichsweise leicht zugänglich und veränderbar ist. Zudem wird hinterfragt, warum etablierte Sicherheitsfunktionen moderner Geräte wie geschützte Hardwarebereiche nicht konsequent genutzt werden.
Neben den technischen Schwächen gibt es auch konzeptionelle Fragen. So wird etwa diskutiert, warum Altersnachweise ein Ablaufdatum besitzen, obwohl Menschen logischerweise nur älter werden können. Auch die Begrenzung der Anzahl möglicher Verifizierungen pro Nutzer sorgt für Unverständnis.
Die Debatte fällt in eine Phase, in der Regierungen weltweit verstärkt Maßnahmen zum Schutz von Minderjährigen im Internet prüfen. Altersverifikationssysteme gelten dabei als zentraler Baustein, stehen jedoch regelmäßig in der Kritik, entweder zu leicht umgehbar zu sein oder zu viele Daten zu erfassen. Die aktuelle Analyse verstärkt die Zweifel daran, ob die neue EU-Lösung den eigenen Ansprüchen an Sicherheit und Datenschutz überhaupt gerecht wird.