Der Ansatz ist schon der Richtige!
Mich nervt es tierisch, wenn alle möglichen Dienstleister alle meine Daten haben möchten, um mich zu Authentifizieren.
Für jeden Mist, benötigt man entweder eine App, muss seine Handynummer zwecks SMS Code herausgeben oder ist gezwungen seine Ausweiskopie unverschlüsselt per Mail oder Post irgendwohin zu senden.
Ein vertrauenswürdiger Dienst kann uns all das ersparen, indem er dem Dienstleister über eine API einfach ein Ja oder Nein zurückgibt.
Das Paradoxe daran: Das haben wir schön längst - mit dem ePersonalausweis und einem Kartenlesegerät kann man all das schon seit 10 Jahren!
Funktioniert wunderbar für digitale Behördengänge, Steuererklärungen und bei ein paar Banken.
Das Problem: Kaum ein Dienst nutzt diese Methode!
Es ist fraglich, ob sich mit einer App daran etwas ändern wird.
Das sind Dinge, die die Schwarmintelligenz einer spezialisierten Community wenn sie das Tool hätte coden sollen vermutlich instant gefunden hätte.
Das war ja auch der Sinn dieser Aktion.
Die Entwickler haben eine Beta-Version auf GitHub gestellt, damit Programmierer aus aller Welt Schwachstellen aufdecken, nichts weltbewegendes.
Die Medien versuchen damit natürlich Schlagzeilen zu machen.
Viele Leser (und einige Redakteure) scheinen die Auswirkungen der Sicherheitslücke auch nicht richtig zu verstehen oder dramatisieren bewusst.
Ich hoffe ja immer noch verzweifelt, daß die Schwarmintelligenz intelligent genug ist, den von niemanden gewählten EU-Kommissaren NICHT dabei ZU HELFEN, das uns zukünftig vorgesehene digitale Gefängnis auch noch zu verbessern.
Ich denke du hast die Hintergründe nicht ganz verstanden.
Das Gegenteil ist der Fall, dieser EU Dienst, schützt deine Daten.
Er ersetzt die Notwendigkeit der kommerziellen Dienstleister, dein Geburtsdatum und weitere persönliche Daten abzufragen. Die dann alle wunderbar weiterverarbeitet werden und evtl. gewollt oder ungewollt weitergegeben werden.
Damit sich ein Angreifer mit meinem Namen und Alter irgendwo registriert?
Nein, die App gibt dem anfragendem Dienst (z.B. Facebook) nur einen Daumen nach oben oder Unten zurück, je nachdem ob dein Alter dem angefragten Alter entspricht.
Das ist ja der Vorteil dieses EU-Dienstes, persönliche Daten wie das Geburtsdatum werden geschützt.
Und die Sicherheitslücke besteht auch nur darin, dass man mit einem zuvor einmal korrekt registriertem Gerät inkl. nachgewiesenen Alter, den PIN Code ändern kann, um sich damit zu authentifizieren, sofern dieses Gerät zuvor gerooted wurde.
Ein möglicher Missbrauchsfall wäre hier, wenn ein Minderjähriger dein Smartphone entwendet bzw. ausborgt, um damit sein Alter zu verifizieren. Mit dem Fehler, lässt sich dein festgelegter PIN umgehen, der beim starten der App abgefragt wird. (Falls du root rechte hast)
