Miercuri, Comisia Europeană a dezvăluit o aplicație mobilă(fereastră nouă) concepută pentru a permite persoanelor să își dovedească vârsta online fără a partaja date cu caracter personal cu platformele. Oficialii UE au declarat că aplicația este gata, că respectă cele mai înalte standarde de confidențialitate și au indicat codul său sursă deschisă drept dovadă a transparenței.
În câteva ore, totuși, cercetătorii în domeniul securității au început să analizeze codul sursă deschisă. Până joi, consultantul în securitate Paul Moore ocolise protecțiile aplicației în mai puțin de două minute(fereastră nouă).
Alții i-au confirmat constatările. Comenzile de limitare a ratei aplicației erau stocate într-un fișier editabil, autentificarea biometrică putea fi dezactivată printr-o simplă modificare de configurare, iar acreditările sensibile puteau fi accesate fără protecție hardware securizată.
Comisia a minimalizat constatările, numind versiunea lansată o versiune demonstrativă. Atât Moore, cât și criptograful francez Olivier Blazy au replicat, declarând pentru Politico(fereastră nouă) că testau cea mai recentă versiune a codului când au găsit vulnerabilitățile.
Ulterior, Comisia a declarat că problema a fost remediată, însă incidentul demonstrează în continuare cât de vulnerabile sunt aceste sisteme de verificare a vârstei.
Ce face aplicația UE de verificare a vârstei și ce nu a funcționat
Aplicația UE de verificare a vârstei permite persoanelor să își verifice vârsta folosind un pașaport, un act de identitate național sau un furnizor aprobat, cum ar fi o bancă. Platformele pot solicita apoi aplicației să verifice dacă o persoană depășește o anumită vârstă fără a accesa datele cu caracter personal subiacente, procedeu cunoscut și sub numele de dovadă cu cunoștințe zero (zero-knowledge proof).
Implementarea a subminat acel design. Aplicația UE de verificare a vârstei a stocat un cod PIN criptat într-un fișier de configurare editabil pe dispozitiv, separat de seiful de identitate care păstrează datele sensibile. Prin ștergerea câtorva valori și repornirea aplicației, un atacator poate seta un nou cod PIN în timp ce reutilizează acreditările dintr-un profil anterior.
Comenzile de limitare a ratei care previn ghicirea repetată au fost stocate sub forma unui simplu contor în același fișier, care poate fi resetat la zero, ștergând orice înregistrare a încercărilor eșuate. Autentificarea biometrică a fost controlată de un singur indicator boolean; schimbarea acestuia din „adevărat” în „fals” a omis verificarea în întregime.
Construită pentru a verifica vârstele, dar nu în siguranță
După ce cercetătorii au utilizat codul pentru a-i expune punctele slabe, oficialii au prezentat aplicația drept o versiune demonstrativă.
Mai mulți dezvoltatori au observat că datele sensibile ar fi trebuit să fie stocate într-o enclavă securizată, o protecție la nivel hardware disponibilă pe smartphone-urile moderne care face aceste atacuri mult mai dificile.
Dar vulnerabilitățile expun o problemă care depășește această aplicație anume. Verificarea vârstei nu este sigură prin design, deoarece necesită corelarea unei identități reale cu o acțiune desfășurată online. Acea legătură trebuie să fie stocată undeva, chiar și pentru scurt timp, iar oriunde s-ar afla, devine o țintă pentru hackeri, guverne și oricine obține un acces neautorizat la datele subiacente. Cu cât această legătură devine mai centralizată și mai reutilizabilă, cu atât ținta devine mai mare.
Legea UE privind verificarea vârstei este menită să fie un standard unic, care să protejeze confidențialitatea și să înlocuiască mozaicul juridic care prinde contur în statele membre, dar încrederea Comisiei că aplicația este gata s-a dovedit a fi prematură. Peste 400 de cercetători în domeniul confidențialității și securității au scris Comisiei în luna martie(fereastră nouă) solicitând un moratoriu asupra implementării până când cercetările științifice privind tehnologia de verificare a vârstei se vor stabiliza.
