Как хакерам удалось взломать приложение?

Запуск нового мобильного приложения для цифровой верификации возраста, который состоялся 14 апреля 2026, имел целью создать безопасную среду для несовершеннолетних и ограничить их доступ к вредному контенту. Однако уже через несколько дней после релиза вокруг программного обеспечения вспыхнул скандал, пишет GBHackers.

Смотрите также Украинские больницы и операторов дронов атакуют с помощью нового вируса AgingFly

Британский консультант по вопросам кибербезопасности Пол Мур продемонстрировал, что систему защиты можно полностью нейтрализовать менее чем за две минуты. Специалист проанализировал открытый программный код и обнаружил серьезные недостатки в архитектуре приложения, которые противоречат заявлениям высокопоставленных чиновников о высочайших мировых стандартах приватности.

Основная проблема сосредоточена в механизме создания и хранения идентификационного номера (PIN). Во время первой настройки программа шифрует пароль пользователя и сохраняет его непосредственно на устройстве в специальном каталоге конфигурации, известном как shared preferences.

Исследователи выяснили, что этот зашифрованный пароль не имеет криптографической связи с основным хранилищем личных данных, где содержатся реальные учетные документы для проверки. Это означает, что шифрование не выполняет своей защитной функции, поскольку файлы остаются доступными для редактирования.

Метод взлома оказался чрезвычайно простым для любого, кто имеет физический доступ к смартфону. Злоумышленнику достаточно удалить определенные значения из конфигурационного файла, перезапустить приложение и установить новый пароль по своему усмотрению. После этого система воспринимает чужие данные из оригинального верифицированного профиля как действующие под новым паролем злоумышленника.

Такая уязвимость позволяет похищать цифровую личность без предупреждений или оповещений для владельца.

Кроме манипуляций с паролем, в том же файле конфигурации были найдены еще две критические слабости:

  • Во-первых, защита от попыток подбора пароля реализован как обычный счетчик, который можно вручную сбросить до нуля, что позволяет угадывать комбинации бесконечное количество раз, сообщает Cyber Security News.
  • Во-вторых, проверка биометрических данных, таких как отпечаток пальца или сканирование лица, контролируется простым переключателем в настройках. Изменив одно значение в файле на "false", хакер может полностью отключить биометрическую аутентификацию и зайти в приложение без дополнительных проверок.

Эксперты отмечают, что такие ошибки в разработке являются фундаментальными просчетами, а не случайными мелочами. Ситуация осложняется тем, что это приложение разрабатывалось как прототип для значительно более масштабной экосистемы – Европейского кошелька цифровой идентификации. Это делает обнаруженные дыры в безопасности потенциально опасными для критической национальной инфраструктуры всего Европейского Союза.

Стоит заметить, что это не первый тревожный сигнал. В марте 2026 года в архитектуре системы уже находили недостаток, из-за которого невозможно было подтвердить, действительно ли проверка паспорта происходила именно на устройстве пользователя. Несмотря на предупреждения специалистов о том, что продукт в таком состоянии может стать причиной грандиозной утечки данных, Европейская комиссия по состоянию на 17 апреля 2026 года не выпустила официального обновления для исправления ситуации.

Сейчас приложение находится на стадии пилотного тестирования в шести странах, среди которых Франция, Дания и Испания.