歐盟年齡驗證應用程式 Age Verification Providers 被安全專家發現多處漏洞,引發爭議。這款宣稱「技術已準備就緒」並符合「最高隱私標準」的系統,不到兩分鐘即被攻破。安全研究員 Marc Murphy 先指出其薄弱環節,他在檢視應用程式的開源代碼後,透過視頻演示了繞過防護的七步操作流程。 關鍵漏洞在於加密的 PIN 碼明文儲存於設備本地,且未與生物識別儲存區進行可信綁定。
攻擊者只需移除一個系統服務檔案,即可重置舊 PIN 碼、設定新密碼,並完全存取先前已驗證過的生物數據。此外,配置文件中被發現存在生物識別認證功能(將參數值從 “true” 修改為 “false”),以及重置 PIN 碼輸入嘗試次數的設定選項。Murphy 指出,這些操作無需複雜工具,數分鐘即可完成。 真正令人震驚的是,該應用在用戶設備上以未加密形式儲存了「原始」生物識別數據及自拍照片。
與歐盟委員會關於流程保密與匿名聲明的相悖,這些檔案未被系統自動刪除。Murphy 證實,上述問題並非僅存在測試版本,而是出現在可供下載的最終版軟件中。 歐盟委員會在評論此事件時承認存在缺失,但拒絕了有關責任的指責。官方代表表示,該應用尚處完善階段,目前版本並非用於實環境部署。他們承諾所有發現的漏洞將於近期修復,最終產品版本將於不久後發佈。
漏洞細節
| 漏洞類型 | 描述 | 攻擊難度 |
|---|---|---|
| PIN 碼儲存 | 明文儲存於設備本地,未綁定生物識別 | 低(移除1個服務檔案) |
| 生物識別認證 | 配置文件參數可修改為 false | 低(數分鐘操作) |
| 數據保留 | 原始生物數據及照片未加密儲存,未自動刪除 | 低(直接存取) |
| PIN 重置 | 輸入嘗試次數設定可繞過 | 低(配置文件修改) |
AI 內容聲明:本文由 AI 工具輔助撰寫初稿,經 TechRitual 編輯團隊審閱、修訂及事實查核後發佈。如有任何錯誤或需要更正,歡迎聯絡我們。
