b_drummer
1.7K posts
b_drummer
@b_drummer
I’m not crazy, my mother had me tested
Katılım Mart 2012
239 Takip Edilen39 Takipçiler
Hacking the #EU #AgeVerification app in under 2 minutes.
During setup, the app asks you to create a PIN. After entry, the app *encrypts* it and saves it in the shared_prefs directory.
1. It shouldn't be encrypted at all - that's a really poor design.
2. It's not cryptographically tied to the vault which contains the identity data.
So, an attacker can simply remove the PinEnc/PinIV values from the shared_prefs file and restart the app.
After choosing a different PIN, the app presents credentials created under the old profile and let's the attacker present them as valid.
Other issues:
1. Rate limiting is an incrementing number in the same config file. Just reset it to 0 and keep trying.
2. "UseBiometricAuth" is a boolean, also in the same file. Set it to false and it just skips that step.
Seriously @vonderleyen - this product will be the catalyst for an enormous breach at some point. It's just a matter of time.
Paul Moore - Security Consultant @Paul_Reviews
.@vonderleyen "The European #AgeVerification app is technically ready. It respects the highest privacy standards in the world. It's open-source, so anyone can check the code..." I did. It didn't take long to find what looks like a serious #privacy issue. The app goes to great lengths to protect the AV data AFTER collection (is_over_18: true is AES-GCM'd); it does so pretty well. But, the source image used to collect that data is written to disk without encryption and not deleted correctly. For NFC biometric data: It pulls DG2 and writes a lossless PNG to the filesystem. It's only deleted on success. If it fails for any reason (user clicks back, scan fails & retries, app crashes etc), the full biometric image remains on the device in cache. This is protected with CE keys at the Android level, but the app makes no attempt to encrypt/protect them. For selfie pictures: Different scenario. These images are written to external storage in lossless PNG format, but they're never deleted. Not a cache... long-term storage. These are protected with DE keys at the Android level, but again, the app makes no attempt to encrypt/protect them. This is akin to taking a picture of your passport/government ID using the camera app and keeping it just in case. You can encrypt data taken from it until you're blue in the face... leaving the original image on disk is crazy & unnecessary. From a #GDPR standpoint: Biometric data collected is special category data. If there's no lawful basis to retain it after processing, that's potentially a material breach. youtube.com/watch?v=4VRRri…
English
@MCYC1975 @Rturcato83 Altro dato importante: nessun temp principal è sopravvissuto ad Alonso
Italiano
Alonso si crede il migliore, ma dopo 20 anni il pattern è chiaro: parte fortissimo, poi calano prestazioni e armonia nel team. Se ovunque finisce male, non può essere un caso. I numeri dicono che, più che un "grande sviluppatore", è un grande solista
#Skymotori #f1 #ChinaGP
Italiano
@OfficialForHum Secondo me in squadra sanno che dovrebbero intervenire, ma dopo tanta merda vogliono dare uno zuccherino anche ai piloti e farli divertire un po’
Italiano
@Saetta_McQueen Rimpiango i tempi in cui Ecclestone proponeva di bagnare artificialmente i circuiti per lo spettacolo
Italiano
Hanno raggiunto il loro obiettivo.
I numeri gli danno ragione: il numero di sorpassi è aumentato di tanto, successo in autodromo e in tv.
Adesso 24 sprint, gare con intervallo tipo superbowl, griglia invertita e qualche altra puttanata.
#F1
Formula 1@F1
Italiano
@_Alessio002 @Formula_Tecnica @berrageiz @niccoloarnerich E' una cosa che si poteva fare al simulatore nei mesi scorsi, quindi se non sono stati capaci fino a ora, non lo saranno neanche domani
Italiano
@Formula_Tecnica @berrageiz @niccoloarnerich È un problema risolvibile con quali tempistiche secondo voi?
Italiano
#F1 #FormulaTecnica #AustralianGP
Il software della #Ferrari non ha saputo arginare in qualifica il problema della gestione ibrida nei cambi di scenario, che ha prodotto gran parte degli 8 decimi presi su #Mercedes
🖋️@berrageiz - @niccoloarnerich
formulatecnica.it/2026/03/ferrar…
Italiano
@GiulyDuchessa Quando gli altri portano update, vanno meglio. Quando li portiamo noi (in ritardo), “dobbiam capire”
Italiano
La sospensione rifatta è un grosso cambiamento, normalmente tutte le regolazioni vanno esplorate di nuovo.
Se è un passo giusto darà velocemente prestazione
Vasseur: “Dobbiamo lavorarci su finché non conosciamo tutte le impostazioni”
autoracer.it/vasseur-sprint…
Italiano
@RobChinchero Verissimo, ma sono gli stessi costruttori ad averlo voluto se non ricordo male
Italiano
Con il budget cap, se un team riesce a fare un lavoro migliore a parità di spesa il vantaggio lo mantiene.
Con il BOP no.
Se alla vigilia di un weekend, come in Brasile, ad una macchina aggiungi 60 kg e togli 20cv, di fatto le dici "stai dietro".
#skymotori
Italiano
@deadlinex Abbiamo preso il TP di Sauber, evidentemente abbiamo anche i loro obiettivi
Italiano
A Lewis: il passo è buono al momento
(Ma in che senso?! Cioè è a 20 secondi da Charles e Ocon segue a 20 secondi). È da solo nel mezzo del nulla. In che senso il tuo passo è buono?!) #CanadianGP
Italiano
@rossoocorsa Sisi c’ero anche io in quella riunione e posso confermare, mancavano 19,5€ altrimenti sarebbe venuto
Italiano
ieri sera fonti interne mi hanno confermato che newey ha rifiutato ferrari perché elkann non voleva pagarlo.
non esistono azioni, il trasferirsi in italia o altro. esiste un presidente che non vuole tirare fuori i soldi rispettando gli ingegneri seri e i loro team di lavoro.
Italiano
Leclerc is missing F1 Canada FP2 after practice crash
English
Honestly: across the board, Portugal has gotten significantly WORSE since we started making investments in the country. If the trend continues, we’ll stop investing. And if you’re considering it as a tech firm, you’d be crazy to without some hard reassurances from the government.
English
Posso dire che é una pista orrenda o qualcuno si offende???
Italiano