EU年齢確認アプリ、2分で突破される
原題: EU Declared Age App “Ready” While GitHub Flagged it Unfit, Then Hackers Bypassed It in 2 Minutes
なぜ重要か
オープンソースセキュリティの脆弱性対応と政府機関の技術発表プロセスの課題を浮き彫りにした事例として重要
欧州委員会が4月15日に「技術的に完成」と発表した年齢確認アプリが、翌16日にセキュリティ研究者によって2分未満で突破された。GitHubリポジトリには実用不可の警告が記載されていたが、フォン・デア・ライエン委員長は制約を明示せずに発表していた。
欧州委員会のフォン・デア・ライエン委員長が4月15日、オープンソースの年齢確認アプリを「技術的に完成」と宣言した翌日、英国のセキュリティコンサルタントPaul Moore氏がアプリの脆弱性を2分未満で突破する動画をXに投稿した。Moore氏は、アプリの設定ファイル「eudi-wallet.xml」から暗号化されたPINエントリーを削除することで、既存の認証情報へのアクセスを維持したまま新しいPINを設定できることを実証した。同じ設定ファイル内のPIN試行カウンターは平文の整数で保存され、ゼロにリセットすることで無制限の推測試行が可能だった。さらに、単一のブール値を変更するだけで生体認証を完全に無効化できた。委員長に直接タグ付けされた投稿は320万回以上閲覧された。欧州委員会のGitHubリポジトリを確認すると、コードは初期段階のリリースであり、セキュリティとプライバシー保護が最終製品の基準を下回っており、実用展開は推奨されないとの明示的な注意書きがあった。しかし委員長の発表にはこうした制約は含まれていなかった。Politicoが脆弱性を報道した後、委員会は研究者が開発目的のみの「デモ版」をテストしたとし、欠陥は「修正された」と述べた。しかしMoore氏と暗号研究者Olivier Blazy氏は、GitHubに公開された最新版でテストを実施したと反論した。