上海
歐盟年齡驗證應用程序因網絡安全專家發現多處漏洞而引發爭議。 這款宣稱"技術已完備"且符合"最高隱私標準"的系統,在不到兩分鐘內即被攻破。安全顧問保羅·穆爾率先指出其薄弱環節,他在研究該應用程序的開源代碼后,通過視頻演示了繞過防護的具體操作流程。
關鍵漏洞在于加密的PIN碼僅存儲于設備本地,且未與身份識別存儲區進行可靠綁定。攻擊者只需刪除幾個系統服務文件,即可重置舊PIN碼、設置新密碼,進而完全訪問先前已驗證過的身份數據。此外,配置文件中被發現存在允許關閉生物識別認證(將參數值從"true"修改為"false")以及重置PIN碼輸入嘗試次數的設置項。穆爾指出,這些操作無需復雜工具,數分鐘內即可完成。
真正令人震驚的是,該應用在用戶設備上以未加密形式存儲了"原始"生物識別數據及自拍照片。與歐盟委員會關于過程保密與匿名的聲明相悖,這些文件從未被系統自動刪除。隨后證實,上述問題并非出現在測試樣本中,而是存在于可供下載的最終版軟件中。
歐盟委員會在評論該情況時承認存在缺陷,但駁斥了關于無能的指責。官方代表表示,該應用尚處于完善階段,當前版本并非用于實際部署。他們承諾所有發現的漏洞將在近期內修復,最終產品版本將在稍后發布。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
