Beveiligingslek in EU-leeftijdsapp zet vraagtekens bij digitale identiteit

In dit artikel:

Een recent gelanceerde Europese leeftijdsverificatie-app blijkt kwetsbaar: beveiligingsonderzoeker Paul Moore ontdekte dat iemand met fysieke toegang tot een smartphone de pincode van een gebruiker kan resetten en daarmee toegang tot de app kan krijgen. De fout zit in de manier waarop cruciale instellingen in de ‘shared preferences’ van het toestel worden beheerd; door bepaalde opgeslagen waarden te verwijderen kan bij herstart een nieuwe code worden ingesteld.

De app is open source, waardoor Moore de broncode kon bestuderen en zijn bevindingen snel via sociale media verspreidde. Die openheid vergroot de kans op onafhankelijke controle, maar maakt ook kwetsbaarheden publiekelijk zichtbaar. Daarnaast wees Moore op een tweede probleem: de app bewaart verificatie-selfies langdurig in externe opslag als PNG-bestanden zonder kwaliteitsverlies en zonder automatische verwijdering. Zulke gevoelige afbeeldingen blijven zo op het toestel staan en kunnen door derden met toegang worden ingezien.

De ontdekking komt terwijl Europese overheden digitale identificaties en leeftijdscontroles op grote schaal willen invoeren, wat de zorgen vergroot over privacy en veiligheid. Ontwikkelaars hebben nog niet publiekelijk gereageerd of een patch aangekondigd. De zaak illustreert het belang van strikte opslagregels, versleuteling en automatische verwijdering van biometrische gegevens bij systemen die miljoenen gebruikers moeten bedienen.