Ein Sicherheitsforscher hat eine eklatante Schwachstelle im neuen System der Europäischen Union zur Altersverifikation aufgedeckt. Während die EU das Tool als sicheren Standard für den Jugendschutz im Internet etablieren möchte, zeigt der aktuelle Vorfall, dass die technische Umsetzung offenbar fundamentale Mängel aufweist.
Die Demonstration des Forschers verdeutlicht, wie anfällig das System für lokale Manipulationen ist. Benötigt wurde lediglich ein herkömmliches Android-Smartphone und ein einfacher Dateieditor.
Der Prozess des Bypasses lässt sich in wenigen Schritten zusammenfassen:
- Lokale Datenänderung: Durch den Zugriff auf die internen App-Dateien (häufig innerhalb der Shared Preferences oder lokaler Datenbanken) konnte der Forscher den Status der Verifikation manuell von „nicht verifiziert“ auf „verifiziert“ umstellen.
- Umgehung der Server-Prüfung: Die App vertraute offenbar den lokal gespeicherten Informationen mehr als einer serverseitigen Validierung.
- Zeitaufwand: Der gesamte Vorgang dauerte weniger als 120 Sekunden.
Warum das ein Problem ist
Das Ziel der EU ist es, Minderjährige vor ungeeigneten Inhalten (wie Glücksspiel oder Pornografie) zu schützen. Wenn dieser Schutz jedoch durch eine simple Dateimanipulation umgangen werden kann, verliert das System seine gesamte Glaubwürdigkeit.
Kritische Schwachstellen im Design:
- Client-Side Trust: Die App scheint nach dem Prinzip „Trust the Client“ zu arbeiten. In der IT-Sicherheit gilt dies als Kardinalfehler, da Nutzer die volle Kontrolle über ihr eigenes Endgerät haben.
- Fehlende Verschlüsselung: Dass sensible Status-Dateien im Klartext oder leicht editierbar vorliegen, zeugt von mangelhaften Sicherheitsstandards.
- Keine Root-Erkennung: Moderne Sicherheits-Apps sollten erkennen, wenn ein System manipuliert wurde, und den Dienst in solchen Fällen verweigern.
Ergänzende Einordnung
Dieser Vorfall befeuert die ohnehin hitzige Debatte über den Datenschutz und die technische Umsetzbarkeit der EU-Pläne. Kritiker bemängeln schon lange, dass eine zentrale Altersverifikation entweder zu unsicher (wie hier gezeigt) oder zu invasiv in Bezug auf die Privatsphäre der Nutzer ist.
„Wenn ein System, das Millionen von Bürgern schützen soll, an einem einfachen Texteditor scheitert, ist das ein Armutszeugnis für die digitale Infrastruktur der EU“, so ein erster Kommentar aus Fachkreisen.
Für die Entwickler bedeutet dieser Fund, dass sie das gesamte Sicherheitskonzept überarbeiten müssen. Eine effektive Altersverifikation darf sich nicht auf lokale Variablen verlassen, sondern muss auf kryptografisch abgesicherten Token basieren, die regelmäßig gegen einen Server validiert werden. Bis dahin bleibt das System kaum mehr als ein digitaler „Türsteher“, der wegsieht, sobald man den Seiteneingang nutzt.
Mobilfunk-Newsletter: Einmal pro Woche die neusten Informationen rund um Handy, Smartphones und Deals!
Unser kostenloser Newsletter informiert Sie regelmäßig per E-Mail über Produktneuheiten und Sonderaktionen. Ihre hier eingegebenen Daten werden lediglich zur Personalisierung des Newsletters verwendet und nicht an Dritte weitergegeben. Sie können sich jederzeit aus dem Newsletter heraus abmelden. Durch Absenden der von Ihnen eingegebenen Daten willigen Sie in die Datenverarbeitung ein und bestätigen unsere Datenschutzerklärung.
Immer die aktuellsten Nachrichten direkt im Smartphone.
Unsere Kanäle gibt es kostenlos hier:
Telegram: Appdated Telegram Channel
Facebook: Appdated Facebook Seite
Twitter: Appdated Twitter Channel
Technikaffin seit den Zeiten von Amiga 500 und C64 – mittlerweile aber eher mit deutlichem Fokus auf die Bereich Mobilfunk und Telekommunikation. Die ersten Artikel im Telco Bereich habe ich bereits 2006 geschrieben, seit dem bin ich dem Thema treu geblieben und nebenbei läuft mittlerweile auch noch ein Telefon- und Smartphone Museum um die Entiwcklung zu dokumentieren.