2026 年 4 月 16 日,欧盟委员会主席乌尔苏拉・冯德莱恩在布鲁塞尔高调发布了其宣称的 “技术上已就绪” 的开源年龄验证应用,声称这款工具将成为欧盟范围内防止未成年人访问社交媒体和成人网站的核心基础设施。然而,仅仅数小时后,安全研究员保罗・摩尔(Paul Moore)便在社交媒体平台 X 上公开演示了整个绕过过程 —— 从下载应用到突破安全防护,总耗时不超过两分钟。这一事件不仅让欧盟数字身份项目颜面扫地,更暴露了客户端校验架构中一系列致命的设计缺陷。
攻击向量解析:本地配置文件的致命脆弱性
摩尔的核心发现指向了该应用最根本的安全败笔:敏感的安全控制数据以明文形式存储在 Android 设备的本地配置文件中。具体而言,应用的 PIN 加密值(PinEnc 和 PinIV)保存在 shared_prefs 目录下的普通配置文件中,而该文件对任何拥有设备文件访问权限的用户完全可见且可编辑。这一设计的灾难性后果在于,加密 PIN 与身份保险库之间缺乏密码学绑定关系 —— 攻击者只需删除 PinEnc 和 PinIV 这两个配置项,重启应用并设置新 PIN,系统便会错误地将新凭证与先前存储的身份数据关联起来,等同于获得了前任用户的完整验证权限。
更令人震惊的是,应用将速率限制(rate limiting)这一关键的反暴力猜测防护机制也实现在了同一份可编辑的配置文件中。速率限制计数器以明文存储,攻击者只需将其值设为零,应用便彻底忘记了所有失败的尝试记录,意味着任何人都可以无限次尝试不同 PIN 组合而永远不会被锁定。这一缺陷将理论上需要数万次尝试的暴力破解转化为一次简单的配置项修改。
生物识别认证的虚假保护
除了 PIN 绕过之外,该应用的生物识别认证机制同样形同虚设。生物识别开关(UseBiometricAuth)作为一个布尔标志位存储在用户可访问的配置文件中,将其值从 true 修改为 false 即可完全跳过指纹或面部识别验证。整个过程不需要突破任何加密机制,也不需要利用硬件安全缺陷 —— 仅需一个基本的文本编辑器即可完成。这种将安全关键标志位明文存储的做法,相当于将防盗门的钥匙直接放在门垫下方。
摩尔在技术分析中明确指出,现代智能手机均配备了硬件级安全隔离区域(如苹果的 Secure Enclave 或安卓的 TrustZone),专门用于保护敏感认证数据免受操作系统其余部分的篡改。然而这款欧盟年龄验证应用完全没有利用这些成熟的硬件安全方案,而是将所有安全控制逻辑暴露在普通应用存储空间中,使其极易受到本地攻击。
身份数据的加密缺失
该应用的隐患远不止身份验证层面。摩尔进一步披露,用户上传的政府身份证件(护照、国家身份证等)在设备上以未加密形式存储。这意味着即便攻击者无法直接绕过应用的身份验证机制,只要能够访问设备的文件系统,就可以直接读取用户上传的敏感身份证扫描图像。加密存储静止数据(encryption at rest)是处理敏感个人数据的行业基本要求 —— 银行业应用、密码管理器、即时通讯工具均普遍采用,而这款专门设计用于处理政府身份文件的应用竟然遗漏了这一关键防护。
演示版本与生产版本的模糊界限
事件发酵后,欧盟委员会发言人托马斯・雷格尼尔(Thomas Regnier)的回应进一步加剧了公众质疑。他承认这款应用虽然被标榜为 “最终版本”,但实际上 “仍是一个演示版本”,面向公民的正式产品尚未推出,代码将持续更新和改进。这一表态与冯德莱恩此前的 “技术上已就绪” 声明形成了鲜明对比,暴露了欧盟在数字身份基础设施推广过程中急于求成的项目管理问题。
安全社区的反应迅速而尖锐。开发者们质疑为何年龄证明需要设置过期日期 —— 一旦用户年满十八岁,这一状态将永久有效,无需反复验证。更多人指出,这种设计隐含着构建跨平台身份追踪系统的意图,记录公民何时何地向何种在线服务证明了年龄。 Telegram 创始人帕维尔・杜罗夫(Pavel Durov)更是直指这可能是 “设计即如此” 的安全陷阱:先推出一个标榜隐私保护但实际可破解的应用,待被攻破后以安全为由扩展监控能力,最终将一个 surveillance tool 包装为尊重隐私的解决方案推向公众。
技术改进方向与安全架构启示
从工程实践角度审视此次事件,有几个明确的改进方向。首先,PIN 和生物识别数据必须存储在硬件安全模块中,利用设备的安全隔离区域进行加密和保护,而非存储在普通文件系统可访问的配置文件中。其次,身份验证状态与身份数据之间需要建立密码学绑定关系,确保即使攻击者修改了本地配置,也无法将新的认证凭证与已有身份数据任意关联。第三,速率限制和锁定逻辑必须在服务器端实现,防止客户端配置篡改导致防护机制失效。第四,所有敏感数据在设备上必须静态加密,采用基于硬件密钥的加密方案而非应用自行管理的软密钥。
欧盟年龄验证应用的这次安全事件为全球范围内的数字身份项目敲响了警钟。当一项旨在保护未成年人的技术反而可能成为大规模数据泄露的导火索时,监管机构在推广类似系统前必须进行更为严格的安全审计和红队测试。技术就绪的承诺不应仅停留在政治宣传层面,而应建立在经得起安全社区审视的工程实现之上。
资料来源:本文技术细节主要引用自安全研究员保罗・摩尔在社交媒体平台 X 上发布的技术分析,以及 ReclaimTheNet 的相关报道。