Çarşamba günü Avrupa Komisyonu, kişilerin platformlarla(yeni pencere) kişisel verilerini paylaşmadan yaşlarını çevrim içi olarak kanıtlamalarına olanak tanıyan bir mobil uygulamayı tanıttı. AB yetkilileri, uygulamanın hazır olduğunu, en yüksek gizlilik standartlarını karşıladığını belirtti ve şeffaflık kanıtı olarak açık kaynaklı koduna işaret etti.
Ancak birkaç saat içinde güvenlik araştırmacıları açık kaynaklı kodu incelemeye başladı. Perşembe gününe gelindiğinde, güvenlik danışmanı Paul Moore uygulamanın korumalarını iki dakikadan kısa bir sürede aştı(yeni pencere).
Diğerleri de onun bulgularını doğruladı. Uygulamanın hız sınırlama kontrolleri düzenlenebilir bir dosyada depolanmıştı, biyometrik kimlik doğrulama basit bir yapılandırma değişikliğiyle kapatılabiliyordu ve hassas kimlik doğrulama bilgilerine güvenli donanım koruması olmadan erişilebiliyordu.
Komisyon bulguları hafife alarak sürümü bir demo versiyonu olarak nitelendirdi. Hem Moore hem de Fransız kriptograf Olivier Blazy buna karşı çıkarak Politico(yeni pencere)‘ya kusurları bulduklarında kodun en son sürümünü test ettiklerini söylediler.
Daha sonra Komisyon sorunun giderildiğini söyledi ancak olay hala bu yaş doğrulama sistemlerinin ne kadar savunmasız olduğunu görüntülüyor.
AB’nin yaş doğrulama uygulaması ne işe yarar ve ne ters gitti?
AB’nin yaş doğrulama uygulaması, kişilerin pasaport, ulusal kimlik veya banka gibi güvenilir bir sağlayıcı kullanarak yaşlarını doğrulamalarına olanak tanır. Platformlar daha sonra uygulamadan, sıfır bilgi ispatı olarak da bilinen yöntemle, temel kişisel verilere erişim sağlamadan birinin belirli bir yaşın üzerinde olup olmadığını kontrol etmesini isteyebilir.
Uygulama, tasarımı zayıflattı. AB’nin yaş doğrulama uygulaması, şifrelenmiş bir PIN’i aygıttaki düzenlenebilir bir yapılandırma dosyasında, hassas verileri tutan kimlik kasasından ayrı olarak depoladı. Bir saldırgan, birkaç değeri silip uygulamayı yeniden başlatarak, önceki bir profilin kimlik doğrulama bilgilerini yeniden kullanırken yeni bir PIN ayarlayabilir.
Tekrarlanan tahminleri engelleyen hız sınırlama kontrolleri, aynı dosyada sıfırlanabilen ve başarısız deneme kayıtlarını silen basit bir sayaç olarak kaydedilmişti. Biyometrik kimlik doğrulama tek bir Boole bayrağı tarafından kontrol ediliyordu; bunun doğru yerine yanlış olarak değiştirilmesi kontrolün tamamen atlanmasını sağlıyordu.
Yaşları kontrol etmek için tasarlandı ancak güvenli değil
Araştırmacılar kodun kusurlarını ifşa etmek için kullandıktan sonra, yetkililer uygulamayı demo sürümü olarak yeniden tanımladılar.
Çeşitli geliştiriciler, hassas verilerin, modern akıllı telefonlarda bulunan ve bu saldırıları çok daha zorlaştıran donanım düzeyinde koruma sağlayan güvenli bir kuşakta depolanmış olması gerektiğini belirttiler.
Ancak güvenlik açıkları, bu özel uygulamanın ötesine geçen bir sorunu gözler önüne sermektedir. Yaş doğrulama tasarımı gereği güvenli değildir; çünkü gerçek bir kimliğin çevrim içi bir eylemle bağlantısının kurulmasını gerektirir. Bu bağlantı, kısa süreliğine de olsa bir yerde depolanmak zorundadır ve nerede bulunursa bulunsun bilgisayar korsanları, hükümetler ve temel verilere yetkisiz erişim sağlayan herkes için bir hedef hâline gelir. Bu bağlantı ne kadar merkezi ve yeniden kullanılabilir olursa, hedef de o kadar büyür.
AB’nin yaş doğrulama yasası, Üye Devletler genelinde şekillenen yasal yamalı bohçanın yerini alacak tek bir gizlilik koruma standardı olmayı amaçlamaktadır ancak Komisyon’un uygulamanın hazır olduğuna dair güveninin erken olduğu ortaya çıktı. 400’den fazla gizlilik ve güvenlik araştırmacısı, Mart ayında Komisyona bir mektup yazarak(yeni pencere), yaş doğrulama teknolojisiyle ilgili bilimsel veriler netleşene kadar uygulamanın askıya alınmasını talep etti.
