EU lansirala aplikaciju, hakeri je probili za dvije minute
Predstavljanje mobilne aplikacije Evropske unije za proveru starosti korisnika na internetu brzo se pretvorilo u problem, nakon što su stručnjaci za kibernetičku bezbednost otkrili ozbiljne propuste u privatnosti i sigurnosti koda.
Predsednica Evropske komisije Ursula fon der Lajen predstavila je alat za verifikaciju starosti u Briselu, rekavši da je tehnički spreman i da će uskoro biti dostupan, dok zemlje rade na zabrani pristupa društvenim mrežama za decu.
„U potpunosti je otvorenog koda. Svako može proveriti kod“, rekla je fon der Lajen.
Stručnjaci za kibernetičku bezbednost i privatnost odmah su analizirali izvorni kod na platformi GitHub i prijavili niz problema u dizajnu aplikacije.
Cela situacija prerasta u PR katastrofu za Brisel. No, ispod kontroverze oko koda kriju se dublje podele između zagovornika privatnosti, organizacija za prava dece, tehnoloških kompanija i političara o tome kako zaštititi maloletnike na internetu, dok lideri obećavaju da će decu zaštititi od društvenih mreža i pornografskih stranica, piše Politiko.
U roku od nekoliko sati nakon objave aplikacije EU, sigurnosni konsultant Paula Mura utvrdila je da aplikacija pohranjuje osetljive podatke na korisničkom telefonu bez adekvatne zaštite. Mura je tvrdila da je aplikaciju uspela da hakira za manje od dve minute.
Baptist Rober, poznati francuski haker, potvrdio je mnoge od tih problema i rekao za Politiko da je moguće zaobići biometrijsku autentifikaciju aplikacije, što znači da bi neko mogao pristupiti aplikaciji bez unošenja PIN koda ili korišćenja Tač ID-a.
„Recimo da sam preuzeo aplikaciju i dokazao da imam više od 18 godina, onda moj nećak može uzeti moj telefon, otključati aplikaciju i koristiti je da dokaže da ima više od 18“, rekao je Olivije Blazi, kriptografski istraživač koji je deo francuske radne grupe za digitalni identitet.
Evropska komisija je u petak ostala pri tvrdnji da je aplikacija tehnički spremna.
„Da, spremna je. Možda možemo dodati i ‘uvek se može unaprediti’“, rekla je glavna glasnogovornica Paula Pinjo novinarima.
Australija kao primer
Evropska komisija je u četvrtak saopštila za Politiko da su hakeri testirali raniju demo verziju aplikacije koja je objavljena za potrebe testiranja i razvoja. Naveli su da je ranjivost otklonjena.
Međutim, i Mura i Blazi navode da su testirali najnoviju verziju koda dostupnu na internetu.
EU i mnoge njene države članice trenutno uvode načine za proveru starosti korisnika na internetu, pod pritiskom političkih inicijativa za bolju zaštitu dece.
Australija je u decembru postala prva zemlja na svetu koja je uvela ograničenja za korišćenje društvenih mreža kod dece, praktično zabranivši mlađima od 16 godina pristup platformama poput TikToka i Jutjuba.
Evropska komisija je 2024. godine raspisala tender vredan četiri miliona evra za aplikaciju za proveru starosti, koji su dobile švedska kompanija za digitalni identitet Scytales i Dojče Telekom.
Aplikacija omogućava korisnicima da potvrde svoju dob putem pasoša, lične karte ili preko pouzdanih pružalaca usluga poput banaka. Tehnološke platforme mogu od aplikacije zatražiti potvrdu da li je osoba starija od određene dobi, ali nemaju pristup dodatnim ličnim podacima, što se naziva metodom „zero-knowledge proof“, osmišljenom da zaštiti privatnost.
Nacionalne vlade takođe mogu razvijati vlastite aplikacije, a cilj je da budu međusobno kompatibilne kako bi omogućile jednostavnu proveru starosti širom EU.
Međutim, kritičari upozoravaju da tehnologija za proveru starosti uz adekvatnu zaštitu privatnosti i podataka još nije dovoljno razvijena, a čak i da jeste, korisnici bi je lako mogli zaobići korišćenjem alata poput VPN-a koji prikrivaju lokaciju.
Blazi je bio deo grupe od više od 400 stručnjaka za privatnost i sigurnost koji su u martu poslali otvoreno pismo Komisiji, tražeći moratorijum na planove implementacije dok se ne postigne naučni konsenzus o koristima i štetama tehnologija za proveru starosti, kao i o tehničkoj izvodljivosti takvog sistema.
