EU Exit: ID Document Check -sovelluksessa muun muassa tunnistaudutaan passin ja kasvokuvan avulla osana prosessia, jossa anotaan lupaa jäädä Britanniaan EU-eron jälkeen. Sovellukseen on siis ladattu valtavia määriä kuvia ja tietoja, jotka varmasti kiinnostavat rahanarvoisia ryöstökohteita etsiviä hakkereita. Brexit-sovelluksen kiinnostusta hakkereiden silmissä ei ainakaan vähennä se, että sillä on yli miljoona käyttäjää.

Norjalainen tietoturvayhtiö Promon varoittaa, että sovellus ei tarjoa suojaa edes perustavanlaatuisilta ja tunnetuilta hyökkäystyökaluilta ja -tekniikoilta, kirjoittaa Mashable.

Promonin mukaan sovelluksessa ei ole toimintoa, joka estäisi haittaohjelmaa kaappaamasta palveluun ladattuja arkaluontoisia tietoja kuten kasvokuvia ja passitietoja.

Sovellus ei myöskään estä mahdollista hyökkääjää lisäämästä vaivihkaa erilaisia haitallisia elementtejä sovellukseen. Suojaa ei ole myöskään koodi-injektiolta.

Promonin mukaan sovellus ei kykene tunnistamaan, käytetäänkö sitä mahdollisesti vaarallisessa ympäristössä kuten rootatussa Android-puhelimessa.

Tietoturvayhtiö tarkasteli ainoastaan sovelluksen Android-versiota. Samainen Brexit-sovellus on tarjolla myös Applen sovelluskaupassa iOS-käyttäjille.

Tietoturvatutkijat eivät paljastaneet yksittäisiä haavoittuvuuksia tai muita yksityiskohtia. Raportti koskee sovelluksen yleistä turvallisuutta yleisimpiä tunnettuja uhkia vastaan.

Britannian sisäasiainministeriön edustaja kommentoi Financial Timesille, ettei se ole huolissaan Promonin varoituksista.

”Ulkopuoliset tietoturvayhtiöt testaavat sovellusta säännöllisesti kaikkia tunnettuja ja mahdollisia uhkia vastaan kunnioittaen alan parhaita käytäntöjä liittyen turvallisuuteen, suorituskykyyn ja esteettömyyteen.”