Birleşik Krallık merkezli tanınmış güvenlik danışmanı Paul Moore, uygulamanın kimlik doğrulama mekanizmasını 2 dakikadan kısa bir sürede aşmayı başardığını duyurarak tüm dünyayı şoke etti. Moore’un analizi, uygulamanın mimarisinde amatörce tasarım hataları bulunduğunu ortaya koydu.
Teknik Zafiyetin Detayları:
Zayıf Şifreleme: Uygulama, kullanıcı PIN kodunu cihazdaki yerel bir yapılandırma dosyasında (shared_prefs) saklıyor. Ancak bu dosyadaki şifreleme, sistemin ana veri kasasıyla bağlantılı olmadığı için kolayca manipüle edilebiliyor.
Kimlik Hırsızlığı Riski: Saldırganlar, dosyadaki belirli değerleri silip uygulamayı yeniden başlatarak sisteme kendi belirledikleri yeni bir PIN kodunu tanıtabiliyor. Bu sayede orijinal kullanıcının kimlik bilgileri, saldırganın şifresiyle erişilebilir hale geliyor.
Biyometrik Koruma İptali: Uzmanlar, dosya içindeki tek bir satırı değiştirerek parmak izi veya yüz tanıma (biyometrik) adımlarının tamamen atlanabildiğini tespit etti.
Sınırsız Şifre Denemesi: Hatalı şifre giriş sayısını tutan sayaç sıfırlanabildiği için, "kaba kuvvet" (brute-force) saldırılarına karşı hiçbir engel kalmıyor.
AB Henüz Sessizliğini Korumuyor
Uygulama şu anda Fransa, İspanya ve Danimarka dahil olmak üzere 6 AB üye ülkesinde pilot aşamasında. Ancak 17 Nisan itibarıyla Avrupa Komisyonu’ndan konuya ilişkin resmi bir yama veya açıklama gelmedi.
Uzman Uyarısı: Paul Moore, Avrupa Komisyonu Başkanı Ursula von der Leyen’e hitaben yaptığı açıklamada, "Bu ürün, devasa bir veri ihlalinin tetikleyicisi olacak; bu sadece bir zaman meselesi" diyerek uygulamanın mevcut haliyle büyük bir risk taşıdığını vurguladı.
Gözler Gelecek Güncellemede
Mart 2026’da yapılan ilk testlerde pasaport doğrulama süreçlerinde de açıklar verdiği bilinen uygulamanın, bu son skandalla birlikte geniş çaplı kullanıma sunulup sunulmayacağı merak konusu. Siber güvenlik dünyası, AB’nin bu "kısa sürede hacklenen" sistemi nasıl düzelteceğini ya da geri çekip çekmeyeceğini yakından takip ediyor.
