A grande aposta da Comissão Europeia para ajudar a resolver o que é considerado a grande prioridade de combate no acesso de menores a conteúdos na internet sofreu um golpe duro na sua credibilidade. Apenas um dia depois de ter sido apresentada oficialmente pela presidente Ursula von der Leyen, a nova aplicação de verificação de idade da União Europeia foi exposta por especialistas em cibersegurança como sendo vulnerável a ataques extremamente simples, por qualquer pessoa.
O investigador britânico Paul Moore, do Simply Secure Group, publicou, menos de 24 horas após o lançamento da app, uma demonstração detalhada onde prova que a segurança da aplicação pode ser contornada.
Segundo Moore, o processo de “piratagem” demora menos de dois minutos e nem sequer exige conhecimentos avançados de informática, bastando o acesso físico ao dispositivo.
A falha reside na arquitetura de armazenamento local da aplicação. Moore demonstrou que a ferramenta guarda o código PIN de segurança num ficheiro de configuração editável dentro do sistema do telemóvel. Ao manipular dois valores específicos num ficheiro de texto (shared_prefs), um utilizador pode:
– Apagar o PIN existente.
– Definir um novo código de acesso sem conhecer o anterior.
– Até mesmo reiniciar o contador de tentativas falhadas, permitindo ataques de “força bruta” ilimitados.
Uma vez alterado o PIN, o sistema permite o acesso total às credenciais de identidade já verificadas, o que significa que um menor poderia, teoricamente, contornar a proteção de um dispositivo partilhado ou configurado pelos pais.