Onderzoeker meldt kwetsbaarheid in Europese leeftijdsverificatie-app

In dit artikel:

Beveiligingsonderzoeker Paul Moore ontdekte in de net uitgebrachte Europese leeftijdsverificatie-app een kwetsbaarheid waarmee iemand met fysieke toegang tot een telefoon de pincode van een gebruiker kan resetten en zo toegang tot de app kan krijgen. Omdat de app open source is, kon Moore in de broncode aanwijzen dat het weggooien van de "PinEnc/PinIV"-waardes uit de shared preferences — gevolgd door een herstart — toestaat direct een nieuwe PIN te zetten. Daarnaast wijst hij erop dat genomen selfies als lossless PNG naar externe opslag worden weggeschreven en niet automatisch worden verwijderd, waardoor gevoelige beelden langdurig op het toestel blijven. De bevinding suggereert dat ontwikkelaars snel moeten patchen: sleutelmaterialen beter beschermen (bijv. Android Keystore), sensibele bestanden versleuteld of tijdelijk opslaan en automatisch opruimen.