黑客仅用两分钟全面入侵欧盟年龄验证应用程序 安全系统形同虚设

欧盟一款旨在实施年龄验证的应用程序，因被网络安全专家发现多处严重安全漏洞而引发广泛争议。该应用曾公开宣称“技术已完备”，并声称严格遵循“最高隐私标准”。然而，事实却与宣传大相径庭：在发布后不到两分钟内，即被安全研究人员成功攻破。

率先揭露问题的是安全顾问保罗·穆尔。他在深入分析该应用程序的开源代码后，通过一段清晰的视频演示，完整复现了绕过全部防护机制的操作流程。其核心漏洞在于：系统将加密后的PIN码仅存储于用户设备本地，且未与身份识别数据存储区建立可靠绑定。攻击者仅需删除少数几个关键系统服务文件，即可重置原有PIN码、设定新密码，并由此获得对已验证身份数据的完全访问权限。更令人担忧的是，应用配置文件中还暴露了多项高危可修改参数——例如，将生物识别认证开关（`biometric_enabled`）的值从 `"true"` 改为 `"false"`，即可直接禁用指纹或面容识别；同时，还可重置PIN码错误尝试次数限制。穆尔强调，上述操作无需任何专业工具，普通用户在数分钟内即可完成。

真正引发公众震惊的，是该应用在用户终端以**明文形式**存储敏感生物识别原始数据及自拍照片。这与欧盟委员会此前关于“处理过程全程保密、数据匿名化且不留存原始信息”的公开声明明显相悖。经核实，这些原始文件不仅未被自动清除，甚至在用户退出或卸载应用后仍可能残留于设备中。尤为关键的是，这些问题并非出现在内部测试版本或开发分支中，而是真实存在于面向公众开放下载的**正式发布版软件**中。

面对质疑，欧盟委员会承认相关缺陷确实存在，但否认存在系统性失职或能力不足。官方回应指出，该应用目前仍处于持续优化阶段，当前版本仅为技术验证原型（proof-of-concept），**并未投入实际部署或公共服务场景**。委员会表示，所有已披露的安全漏洞均已纳入紧急修复清单，预计将在短期内完成补丁更新；最终符合全部合规与安全要求的正式版本，将在完成全面审计与加固后另行发布。