Een technisch onderzoek naar de Europese leeftijdsverificatie-app heeft een mogelijk ernstig privacyprobleem blootgelegd. Hoewel de applicatie volgens ontwikkelaars voldoet aan hoge privacy- en open-source standaarden, blijkt dat bronbeelden met biometrische gegevens onversleuteld op het toestel kunnen achterblijven.
De app versleutelt de uiteindelijke leeftijdsuitkomst (zoals “18+”) adequaat met moderne technieken. Echter, de originele beelden die daarvoor worden gebruikt – zoals NFC-uitgelezen pasfoto’s (DG2) en selfies – worden tijdelijk of zelfs permanent opgeslagen zonder aanvullende encryptie.
Bij NFC-scans worden biometrische afbeeldingen lokaal opgeslagen en alleen verwijderd bij succesvolle afronding. Bij fouten of onderbrekingen kunnen deze beelden in de cache achterblijven. Selfies worden in sommige gevallen zelfs langdurig opgeslagen op externe opslag en niet automatisch verwijderd.
Volgens privacy-experts kan dit problematisch zijn, omdat biometrische data onder de strengste categorie van de AVG (GDPR) valt. Als deze gegevens zonder geldige grondslag worden bewaard, kan sprake zijn van een overtreding.
De bevindingen roepen vragen op over de implementatie van privacy-by-design binnen de app, ondanks de transparantie van de open-source code.
Meer info
https://x.com/Paul_Reviews/status/2044436001611801072
