Serious security flaws in EU age verification app, hackers manage to ‘crack’ it in 2 minutes
https://www.protothema.gr/world/article/1804506/sovara-kena-asfaleias-stin-efarmogi-ilikiakou-eleghou-tis-ee-haker-kataferan-na-tin-spasoun-se-2-lepta/
Posted by WanderingHero8
5 Comments
Γενικά για αυτό ακριβώς το λόγο το έκαναν open source (amongst other reasons). Nothing to see here… System working as intended.
Πολύ καλό το ότι είναι ανεβασμένο στο github το project αλλά θα περίμενε κανείς να μην βρει τρύπα με το καλημέρα.
Από κει και πέρα πολύ σωστά αναφέρεται μέσα στο άρθρο ότι όλο αυτό δεν θα αλλάξει και κάτι ουσιαστικά. Ο Γονέας για να ξεφορτωθεί το παιδί θα κάνει ταυτοποίηση ως ίδιο στο account του παιδιού του και από την άλλη σχεδόν όλοι οι νεότεροι γνωρίζουν πως να παρακάμψουν αυτές τις διαδικασίες με ένα VPN και αν δεν ξέρουν θα μάθουν. Δεν είναι δα και επιστήμη όταν πολλοί browsers πλέον έρχονται με ενσωματωμένα VPN επάνω.
Ανυπομονω για αναλυσεις απο τεχνολογικα αναλφαβητους δημοσιογραφους και πολιτικους για το πως πρεπει να δουλευει η ασφαλεια του app 🤩
Ένας αχταρμάς είναι το “άρθρο”. To κανονικό απτο Politico: [https://www.politico.eu/article/eu-brussels-launched-age-checking-app-hackers-say-took-them-2-minutes-break-it/](https://www.politico.eu/article/eu-brussels-launched-age-checking-app-hackers-say-took-them-2-minutes-break-it/)
1. Το πρόβλημα εχει να κάνει με τo application αυτό καθέαυτό , όχι με το ZKP πίσω απο αυτό. Εξηγεί οτι εύκολα παρακάμπτεις το PIN : ( ewww X [https://x.com/paul_reviews/status/2044723123287666921?s=46&t=DW5Ys-CQoVvG3–3ZCZhFQ](https://x.com/paul_reviews/status/2044723123287666921?s=46&t=DW5Ys-CQoVvG3–3ZCZhFQ) ) . Οπότε είναι θέμα κακής ασφάλειας του interface.
2. Οι 400 ειδικοί που λεει στο ΠΘ είναι εδώ [https://csa-scientist-open-letter.org/ageverif-Feb2026](https://csa-scientist-open-letter.org/ageverif-Feb2026) και βασικά δεν ειναι η πρώτη φορά που τον παίζουν και τα πράγματα θα είναι πολύ χειρότερα με το wallet . [https://github.com/eu-digital-identity-wallet/eudi-doc-architecture-and-reference-framework/issues/193#issuecomment-2179355934](https://github.com/eu-digital-identity-wallet/eudi-doc-architecture-and-reference-framework/issues/193#issuecomment-2179355934) .
Βασικά συμβαίνουν δυο πράγματα ταυτόχρονα: πρώτον, οι επιτροπές και νομοθέτες καθοδηγούν το πώς θα πρέπει να είναι δομημένα αυτά τα πράγματα , και όχι ανάποδα, δηλαδή το πράγμα ξεκινάει απτο μια νομκή γλώσσα για να καταλήξει σε ενα implementation. Άν προσπαθήσεις να διαβάσεις το ARF και τα διάφορα specs παθαίνεις ανεύρυσμα. Και δεύτερον, εισάγουν εν γνώση τούς διάφορες παπάτζες απο καλοθελητες της βιομηχανίας ( π.χ. τα EV certificates αντί για τα DV ). Eπρεπε να μείνουν στο spec ενός application και σε ενα πολύ καλο test suite και ας φτιάξει όποιος θέλει μετά age verification . Αυτά για το τεχνοκρατικό κομμάτι.
Για τα υπόλοιπα ναι, είναι κερκόπορτα: age verification, tax verification, loan verification κτλ κτλ ( ήδη το κάνουν αυτό χώρες άλλες μουλωχτά, άλλες ανοικτά ). Το άν θα είναι ZKP η όχι τελικά μπορεί να είναι και στάχτη στα μάτια, γιατί παίζει να υπάρχουν αρκετά side-channels για να ξέρω ποιος είσαι με αρκετή βεβαιότητα, αν με ενδιαφέρει αλήθεια να ξέρω.
Η ελληνική κοινωνια, που ως γνωστο απασχολείται αποκλειστικά και μόνο με αυτό το θεμα, αποφάσισε να κανει τον χακερ πρωθυπουργό.