Як хакерам вдалося зламати застосунок?

Запуск нового мобільного додатка для цифрової верифікації віку, який відбувся 14 квітня 2026 року, мав на меті створити безпечне середовище для неповнолітніх та обмежити їхній доступ до шкідливого контенту. Проте вже за кілька днів після релізу навколо програмного забезпечення спалахнув скандал, пише GBHackers.

Дивіться також Українські лікарні та операторів дронів атакують за допомогою нового віруса AgingFly

Британський консультант з питань кібербезпеки Пол Мур продемонстрував, що систему захисту можна повністю нейтралізувати менше ніж за дві хвилини. Спеціаліст проаналізував відкритий програмний код і виявив серйозні недоліки в архітектурі додатка, які суперечать заявам високопосадовців про найвищі світові стандарти приватності.

Основна проблема зосереджена в механізмі створення та зберігання ідентифікаційного номера (PIN). Під час першого налаштування програма шифрує пароль користувача та зберігає його безпосередньо на пристрої у спеціальному каталозі конфігурації, відомому як shared preferences.

Дослідники з'ясували, що цей зашифрований пароль не має криптографічного зв'язку з основним сховищем особистих даних, де містяться реальні облікові документи для перевірки. Це означає, що шифрування не виконує своєї захисної функції, оскільки файли залишаються доступними для редагування.

Метод зламу виявився надзвичайно простим для будь-кого, хто має фізичний доступ до смартфона. Зловмисникові достатньо видалити певні значення з конфігураційного файлу, перезапустити додаток і встановити новий пароль на свій розсуд. Після цього система сприймає чужі дані з оригінального верифікованого профілю як чинні під новим паролем зловмисника.

Така вразливість дозволяє викрадати цифрову особистість без жодних попереджень чи сповіщень для власника.

Окрім маніпуляцій з паролем, у тому ж файлі конфігурації були знайдені ще дві критичні слабкості:

  • По-перше, захист від спроб підбору пароля реалізований як звичайний лічильник, який можна вручну скинути до нуля, що дає змогу вгадувати комбінації нескінченну кількість разів, повідомляє Cyber Security News.
  • По-друге, перевірка біометричних даних, таких як відбиток пальця чи сканування обличчя, контролюється простим перемикачем у налаштуваннях. Змінивши одне значення у файлі на "false", хакер може повністю вимкнути біометричну автентифікацію та зайти в додаток без жодних додаткових перевірок.

Експерти наголошують, що такі помилки в розробці є фундаментальними прорахунками, а не випадковими дрібницями. Ситуація ускладнюється тим, що цей додаток розроблявся як прототип для значно масштабнішої екосистеми – Європейського гаманця цифрової ідентифікації. Це робить виявлені дірки в безпеці потенційно небезпечними для критичної національної інфраструктури всього Європейського Союзу.

Варто зауважити, що це не перший тривожний сигнал. У березні 2026 року в архітектурі системи вже знаходили недолік, через який неможливо було підтвердити, чи дійсно перевірка паспорта відбувалася саме на пристрої користувача. Попри попередження фахівців про те, що продукт у такому стані може стати причиною грандіозного витоку даних, Європейська комісія станом на 17 квітня 2026 року не випустила офіційного оновлення для виправлення ситуації.

Наразі додаток перебуває на стадії пілотного тестування у шести країнах, серед яких Франція, Данія та Іспанія.