사이버 보안 전문가가 여러 가지 취약점을 발견한 후 EU 연령 확인 앱이 논란을 불러일으켰습니다. "기술적으로 완전하다"고 주장하고 "가장 높은 개인 정보 보호 표준"을 충족했다고 주장하는 이 시스템은 2분도 채 안 되어 침해되었습니다. 보안 컨설턴트 폴 무어(Paul Moore)가 이 취약점을 가장 먼저 지적했습니다. 그는 애플리케이션의 오픈 소스 코드를 연구한 후 보호 기능을 우회하는 방법을 동영상으로 시연했습니다.
주요 취약점은 암호화된 PIN 코드가 장치에 로컬로만 저장되고 ID 저장 영역에 안정적으로 바인딩되지 않는다는 것입니다. 공격자는 시스템 서비스 파일 몇 개를 삭제하여 기존 PIN을 재설정하고, 새 비밀번호를 설정하고, 이전에 인증된 ID 데이터에 대한 전체 액세스 권한을 얻을 수 있습니다. 또한 구성 파일에서 생체 인증을 끄고(매개변수 값을 "true"에서 "false"로 변경) PIN 입력 시도 횟수를 재설정할 수 있는 설정이 발견되었습니다. Moore는 이러한 작업에는 복잡한 도구가 필요하지 않으며 몇 분 안에 완료할 수 있다고 지적했습니다.
정말 충격적인 점은 이 앱이 '원시' 생체 인식 데이터와 셀카 사진을 암호화되지 않은 형식으로 사용자 기기에 저장한다는 것입니다. 프로세스의 기밀성과 익명성에 관한 유럽 위원회의 진술과 달리 이러한 파일은 시스템에 의해 자동으로 삭제되지 않았습니다. 이후 위에서 언급한 문제는 테스트 샘플에서는 나타나지 않았으나, 다운로드 가능한 최종 버전의 소프트웨어에서는 존재하는 것으로 확인되었습니다.
상황에 대해 언급하면서 유럽연합 집행위원회는 단점은 인정했지만 무능하다는 비난은 일축했습니다. 공식 관계자는 앱이 아직 개선 단계에 있으며 현재 버전은 실제 배포용이 아니라고 말했습니다. 그들은 발견된 모든 취약점이 가까운 시일 내에 수정될 것이며 최종 제품 버전은 나중에 출시될 것이라고 약속합니다.