EU-Altersnachweis-App: Sicherheitsprobleme nach nur wenigen Minuten
Eine neue EU-App zur Altersverifizierung steht kurz nach ihrer Vorstellung in der Kritik. Sicherheitsforscher berichten von Schwachstellen, die grundlegende Schutzmechanismen betreffen könnten.
Die Europäische Union hat eine App zur digitalen Altersverifikation vorgestellt, die künftig den Zugang zu Online-Diensten regulieren soll. Kurz nach der Veröffentlichung des Quellcodes berichten Sicherheitsexperten jedoch von möglichen Schwachstellen.
Die Anwendung wurde von der EU-Kommission als technisch einsatzbereit präsentiert und soll perspektivisch in mehreren Mitgliedsstaaten genutzt werden. Ziel ist es, Altersnachweise online zu ermöglichen, ohne umfassende personenbezogene Daten an Plattformbetreiber weiterzugeben. Grundlage ist ein sogenannter Zero-Knowledge-Ansatz, bei dem lediglich bestätigt wird, ob ein Nutzer eine Altersgrenze überschreitet.
Nach Veröffentlichung des Open-Source-Codes haben Sicherheitsforscher umgehend mit der Analyse begonnen. Der Sicherheitsberater Paul Moore erklärt auf der Plattform X, er habe die App innerhalb weniger Minuten manipulieren können. Nach seiner Darstellung würden PIN-Daten lokal gespeichert und könnten durch Eingriffe in Konfigurationsdateien zurückgesetzt werden. Dadurch lasse sich der Zugriff auf die Anwendung neu initialisieren, ohne die ursprüngliche Identitätsprüfung erneut durchlaufen zu müssen.
Ähnliche Einschätzungen äußert auch der französische IT-Sicherheitsforscher Baptiste Robert. Gegenüber Politico soll er bestätigt haben, dass sich bestimmte Schutzmechanismen umgehen lassen könnten. Demnach sei es möglich, Authentifizierungsprozesse zu umgehen, sodass weder PIN noch biometrische Verfahren zwingend erforderlich seien.
Auch Olivier Blazy, Kryptografie-Forscher und Mitglied einer französischen Arbeitsgruppe zu digitaler Identität, soll gegenüber Politico auf konzeptionelle Schwächen verwiesen haben. Seinen Angaben zufolge sei die Verknüpfung zwischen Gerät, Nutzer und verifizierter Identität nicht ausreichend abgesichert. So soll es möglich sein, dass eine einmal bestätigte Altersfreigabe auch von anderen Personen auf demselben Gerät genutzt werden könnte.
Ein weiterer Kritikpunkt ist offenbar die Begrenzung von Fehlversuchen, die als einfacher Zähler in einer Konfigurationsdatei gespeichert sein soll und damit zurückgesetzt werden kann. Zudem lasse sich eine Einstellung zur biometrischen Authentifizierung offenbar manuell deaktivieren.
Die EU-Kommission soll darauf verwiesen haben, dass es sich bei der analysierten Version um eine Entwicklungs- und Testfassung handle. Nach Angaben von Sprechern sind bekannte Schwachstellen bereits adressiert worden und würden derzeit überarbeitet. Gleichzeitig wird betont, dass die Anwendung fortlaufend weiterentwickelt werde und noch nicht als final veröffentlicht gelte.
Was halten Sie von dem aktuellen Stand der EU-Alters-App? Sinnvoll oder Spielerei? Nutzen Sie die Kommentarfunktion und teilen Sie uns Ihre Meinung mit. Beachten Sie beim Kommentieren aber bitte die Forenregeln. Folgen Sie uns außerdem für Neuigkeiten in der Hardware-Welt oder unsere exklusiven Inhalte gern auf Whatsapp und X. Unsere Video-Inhalte finden Sie bei Youtube, Instagram und Tiktok .



Von einem Online-Dienst einen Brief zugeschickt zu bekommen um das per Postident mit dem ganzen Zusatzaufwand durchzudühren ist inhaltlich bestimmt etwas ganz anderes.
Und ich dachte es geht um
So kann man sich irren.
Muss jeder selbst wissen ob man nicht eher versucht generell seine Leben und seine privaten Daten aus der Öffentlichkeit und dem offenen Zugang "Online/Server" im Internet, fern zu halten.
Fakt ist alles was Digital bereit gestellt wird, ist zwangsläufig der unbestreitbar großen Gefahr des Datenmissbrauchs preisgegeben. Schlimmer noch; "Zu glauben es gäbe Digitale-Daten die sicher vor unberechtigtem Zugang sind!
"Online" ist mit uneinholbar großem Abstand der Unsicherste Ort für...so ziemlich Alles!
Schon allein zu verifizieren wie Alt man ist kann schlicht keine Anonymität beinhalten. Zuvor muss schon irgendjemand es irgendwo festgestellt und festgehalten haben, um diesen Nachweis als Nachweis zu rechtfertigen!
Es ist vermessen von Betreibern jeglicher Software nahe 100% Sicherheit zu Fordern. Weil sie einfach nicht existiert!
Nur man selbst kann durch -Nicht nutzen- und keiner Weitergabe obgleich welcher Folgen seine Sicherheit wenigstens "nahe" dieser Grenze bringen!
Bedeutet nichts anderes als das man einfach mal verzichtet etwas zu tun wenn noch mehr Daten als ohnehin bei Internet Nutzung angegeben werden müssen.
Wer das Internet und die Digitalisierung nutzt für sein Wirtschaftliches leben, und dann wegen Datenmissbrauch jammert, ist nicht nur Naiv sondern vermeintlich Realitätsfern! Denn es ist eine unausweichlich Logische Folge!
Die nichts anderes macht als den Zwang zur Digitalisierung weiter auszubauen wo die Identifikation einer Person Grundvoraussetzung ist!
Die App will genau das Gegenteil bewirken. So wird eine Möglichkeit gegeben digital sein Alter zu verifizieren ohne irgendwelche Daten mitzugeben. Also genau das was du willst.
Die Umsetzung ist natürlich alles andere als optimal, aber die Idee ist super.
Da sie auf GitHub veröffentlicht wird, kann man sie als Open Source Nutzer natürlich auch über Obtainium installieren.
Also verglichen mit sämtlichen bisherigen Systemen außer ggf. dem international (=online) unbrauchbaren E-Perso finde ich das vertretbar. Zugangsdaten zu einmalig via Video-Ident freigeschaltete Accounts lassen sich genauso duplizieren und haben generell keinen zwingende Biometrie-Verifikation, an das Smartphone gekoppelte Verfahren lassen sich mitsamt diesem klauen und eine Kreditkartennummer brauchen sich dritte nur abschreiben, um sie einzeln nutzen zu können. Und dass dann nicht nur zum Altersnachweis, sondern auch um das Konto leerzuräumen.
Meiner Meinung nach sollte man lieber mal darüber diskutieren, dass diese Entwicklung scheinbar wieder nur für Android und gegebenenfalls noch iOS durchgeführt, also trotz Open-Source-Grundgedanken** für die technisch weniger versierten 95 bis 99 Prozent der EU-Bürger nur dann zugänglich ist, wenn sie ihre Daten an Google oder/und Apple geben. Datensparsamkeit wo?
*: Die primär abzuschottende Zielgruppe, Kinder im gleichen Haushalt, werden vermutlich über keine automatisierten Verfahren zum Durchprobieren von Pins verfügen. Das heißt nach Diebstahl von Muttis Handy und leichter Aushebelung des Counters steht dem Nachwuchs immer noch ein Brute-Force-Marathon mit Eingabe von im Schnitt 3.000.000 Ziffern an, ehe der Weg zu EU-Porno-Seiten offen steht.