EU-App für Altersnachweis lässt sich in 2 Minuten hacken

Eigentlich soll die neue Altersnachweis-App der EU zur Sicherheit von Kindern und Jugendlichen dienen. Sie soll das Alter digital auf Online-Plattformen nachweisen können und gleichzeitig die Privatsphäre schützen. Als EU-Kommissionspräsidentin Ursula von der Leyen die App vorstellte, nannte sie sie "technisch bereit". IT-Experten sehen das aber anders und kritisieren die EU scharf. 

Sie haben den öffentlich zugänglichen Quellcode analysiert und gravierende Schwachstellen gefunden. Demnach soll die App etwa sensible Daten ungeschützt auf dem Smartphone speichern. Zudem konnte der Sicherheitsberater Paul Moore den Mechanismus zur Altersprüfung laut eigenen Angaben in nur 2 Minuten umgehen. 

➤ Mehr lesen: Social-Media-Verbot für Kinder: EU-App zur Altersüberprüfung fast fertig

PIN lässt sich einfach austauschen

Moore erklärt sein Vorgehen auf X. Während dem Prozess für den Altersnachweis muss in der App eine PIN angelegt werden. Die sollte zumindest theoretisch mit dem Nutzeraccount verknüpft sein. Tatsächlich sind PIN und Altersnachweis zwar auf dem Handy gespeichert, allerdings nicht ausreichend miteinander verknüpft. 

Moore konnte die PIN einfach wieder von seinem Handy löschen und in der App eine neue anlegen. Der Altersnachweis, den man zuvor mit der alten PIN angelegt hat, bleibt aber bestehen und ist damit nicht an die Identität des Nutzers geknüpft. So kann sich ein Nutzer in kürzester Zeit einen Altersnachweis erschleichen.

➤ Mehr lesen: Ich bin 13, das halte ich von einem Social-Media-Verbot

Biometrische Authentifikation umgehen

Auch der französische Whitehat-Hacker Baptiste Robert bestätigte das gegenüber Politico. Hinzu komme, dass die biometrischen Sicherheitsschranken der App ebenfalls leicht umgangen werden können. 

Somit könnte man die App ohne PIN oder Fingerabdruck verwenden. Damit könnte ein Kind oder Jugendlicher einfach das Handy eines Erwachsenen für den Altersnachweis nehmen, ohne eine PIN einzugeben oder nach dem Fingerabdruck gefragt zu werden. 

➤ Mehr lesen: Wie man seinen Reisepass sicher auf dem Smartphone speichert

Alter Quellcode

Die EU Kommission hat gegenüber Politico angegeben, die Sicherheitsexperten würden sich auf eine ältere Demoversion der App beziehen. Die Lücken seien geschlossen worden, man arbeite aber laufend an Verbesserungen. Die Kritiker geben jedoch an, die aktuellste Version geprüft zu haben. Inzwischen haben Vertreter aus Brüssel mitgeteilt, der auf GitHub verfügbare Quellcode sei noch nicht aktuell.

Der Kryptografie-Experte Olivier Blazy betont gegenüber Politico außerdem, dass die Veröffentlichung des Quellcodes an sich richtig sei, für eine Anwendung, die mit hochsensiblen Daten arbeitet, jedoch ein Risiko. Trotzdem sorgt die Veröffentlichung dafür, dass gravierende Fehler schnell gefunden und damit auch behoben werden können. Trotzdem bringe die aktuelle Situation die Gefahr mit sich, dass ein überstürzter Start mit einer App, die nicht den Sicherheitsstandards entspricht, ein schlechtes Licht auf den geplanten digitalen Ausweis der EU werfen.