欧盟年龄验证App曝严重安全漏洞：明文存生物信息、PIN可随意绕过

欧盟推出的一款年龄验证应用程序因被发现存在多项严重安全缺陷而引发广泛质疑。该应用曾宣称技术成熟，完全符合最高隐私保护标准，然而实际测试显示，其防护机制在短短两分钟内即被突破。

网络安全专家保罗·穆尔在深入分析其开源代码后，通过公开视频完整演示了绕过核心安全措施的操作过程。问题根源在于系统对加密PIN码的处理方式：该码仅保存于用户本地设备，且未与身份认证模块建立强绑定关系。攻击者只需删除若干关键系统服务文件，即可清除原有PIN码、设定新密码，并无障碍地访问此前已完成验证的全部身份信息。

更值得关注的是，应用程序配置文件中包含多项可被轻易篡改的安全参数。例如，生物识别验证功能可通过将对应参数由“true”改为“false”直接禁用；同时，PIN码错误尝试次数限制亦可被重置。此类调整无需专业工具，普通用户在数分钟内即可完成。

尤为严重的是，该应用在用户终端以明文形式长期保存原始生物识别数据及自拍图像。这与相关机构所强调的处理过程保密性与数据匿名化原则明显不符，且系统从未自动清理这些敏感文件。经核实，上述漏洞并非出现在开发测试版本中，而是真实存在于面向公众发布的正式安装包内。

针对此次事件，主管部门承认当前版本存在技术不足，但强调该应用仍处于持续优化阶段，现阶段发布版本并不用于实际部署场景。相关方面表示，所有已识别的安全问题均已被纳入修复计划，预计将在短期内完成全面升级，最终正式版将在后续择机推出。