Ειδικός ασφαλείας ισχυρίζεται ότι η εφαρμογή επαλήθευσης ηλικίας της ΕΕ μπορεί να παραβιαστεί σε δύο λεπτά
Snapshot
- Η εφαρμογή επαλήθευσης ηλικίας της ΕΕ παρουσιάζει σοβαρά κενά ασφαλείας που επιτρέπουν την παραβίαση μέσα σε λίγα λεπτά.
- Το σύστημα αποθηκεύει το PIN κρυπτογραφημένο τοπικά, χωρίς σύνδεση με το θησαυροφυλάκιο ταυτότητας, επιτρέποντας απλή παράκαμψη και επαναχρησιμοποίηση διαπιστευτηρίων.
- Ο περιορισμός δοκιμών PIN και ο βιομετρικός έλεγχος είναι ευάλωτοι σε παραποιήσεις, καθιστώντας την ασφάλεια της εφαρμογής ανεπαρκή.
- Προγραμματιστές και ειδικοί επισημαίνουν προβλήματα σχεδιασμού, όπως η μη χρήση ασφαλών θησαυρών και η ύπαρξη ημερομηνιών λήξης στα διαπιστευτήρια ηλικίας.
- Η επαλήθευση ηλικίας σε πλατφόρμες κοινωνικής δικτύωσης αντιμετωπίζει αντιδράσεις λόγω ανησυχιών για το απόρρητο και τη δημιουργία ευάλωτων κεντρικών αποθηκευτικών ταυτοτήτων.
Snapshot powered by AI
Σοβαρά κενά ασφαλείας στην εφαρμογή επαλήθευσης ηλικίας της ΕΕ που παρουσίασε την Τετάρτη η πρόεδρος της Ευρωπαϊκής Επιτροπής, Ούρσουλα φον ντερ Λάιεν, καταγγέλλει ειδικός, παρουσιάζοντας σε βίντεο πώς μπορεί να χακαριστεί μέσα σε μόλις δύο λεπτά.
Η Κομισιόν, παρουσίασε προχθές μία νέα εφαρμογή επαλήθευσης ηλικίας που έχει σχεδιαστεί για να επιτρέπει στους χρήστες να αποδεικνύουν την ηλικία τους στο διαδίκτυο χωρίς να παραδίδουν προσωπικά δεδομένα σε πλατφόρμες, αλλά και να βάλει «φρένο» στη χρήση των social media από παιδιά.
Ο Πολ Μουρ, σύμβουλος ασφαλείας, περιέγραψε λεπτομερώς αυτό που χαρακτήρισε ως θεμελιώδη ελαττώματα σχεδιασμού στο σύστημα επαλήθευσης ηλικίας της ΕΕ. «Σοβαρά, φον ντερ Λάιεν, αυτό το προϊόν θα είναι ο καταλύτης για μια τεράστια παραβίαση κάποια στιγμή. Είναι απλώς θέμα χρόνου», έγραψε χαρακτηριστικά σε ανάρτησή του στο X.
Εύκολη παράκαμψη ασφαλείας
Σύμφωνα με τον Μουρ, η εφαρμογή αποθηκεύει ένα κρυπτογραφημένο PIN τοπικά, αλλά το πιο σημαντικό είναι ότι η κρυπτογράφηση δεν συνδέεται με το θησαυροφυλάκιο ταυτότητας του χρήστη, όπου φυλάσσονται ευαίσθητα δεδομένα επαλήθευσης.
Αυτό αφήνει περιθώρια για μια εκπληκτικά απλή παράκαμψη. Διαγράφοντας συγκεκριμένες τιμές που συνδέονται με το PIN από τα αρχεία διαμόρφωσης της εφαρμογής και επανεκκινώντας την, ένας εισβολέας μπορεί να ορίσει ένα νέο PIN διατηρώντας παράλληλα την πρόσβαση στα διαπιστευτήρια που δημιουργήθηκαν στο προηγούμενο προφίλ.
Στην πραγματικότητα, η εφαρμογή δέχεται επαναχρησιμοποιημένα δεδομένα ταυτότητας υπό έναν νέο καθορισμένο έλεγχο πρόσβασης.
Έλεγχοι ασφαλείας που επαναφέρονται
Ο Μουρ επεσήμανε επίσης πρόσθετες αδυναμίες που κάνουν τις προσπάθειες παράκαμψης ακόμη πιο εύκολες.
Ο περιορισμός ρυθμού, που συνήθως χρησιμοποιείται για την αποτροπή επαναλαμβανόμενης εικασίας PIN, αποθηκεύεται ως ένας απλός μετρητής στο ίδιο επεξεργάσιμο αρχείο διαμόρφωσης. Εάν το επαναφέρετε στο μηδέν, το σύστημα ξεχνά πόσες προσπάθειες έχουν ήδη γίνει.
Ο βιομετρικός έλεγχος ταυτότητας, εν τω μεταξύ, ελέγχεται από μια μόνο αληθή ή ψευδή ένδειξη. Αλλάξτε το από «αληθές» σε «ψευδές» και η εφαρμογή απλώς παραλείπει εντελώς τους βιομετρικούς ελέγχους.
Πρόβλημα σχεδιασμού και όχι απλά σφάλμα
Αρκετοί προγραμματιστές αντέδρασαν στο διαδίκτυο, αμφισβητώντας τον σχεδιασμό. Τα ευαίσθητα δεδομένα ελέγχου ταυτότητας δεν πρέπει ποτέ να είναι άμεσα προσβάσιμα ή επεξεργάσιμα από τους τελικούς χρήστες.
«Γιατί δεν χρησιμοποίησαν τον ασφαλή θύλακα;» ρώτησε ένας, τονίζοντας ότι μια τέτοια λειτουργία είναι διαθέσιμη στα σύγχρονα smartphones.
Άλλοι εξέφρασαν ευρύτερες ανησυχίες σχετικά με τη λογική της εφαρμογής, συμπεριλαμβανομένων των ορίων για το πόσες φορές μπορεί ένας χρήστης να επαληθεύσει την ηλικία του και την παρουσία ημερομηνιών λήξης στα διαπιστευτήρια ηλικίας.
«Γιατί η απόδειξη ηλικίας έχει ημερομηνία λήξης; Μόλις γίνω 18 ετών, θα είμαι πάντα άνω των 18. Δεν γίνομαι νεότερος!» είπε ένας άλλος.
Ευρεία υιοθέτηση της επαλήθευσης ηλικίας
Πάντως, οι χώρες που προσπαθούν να υιοθετήσουν μέτρα για τον περιορισμό της χρήσης διαδικτυακών πλατφορμών από παιδιά, ολοένα και αυξάνονται. Οι νομοθέτες της ΕΕ είχαν προηγουμένως υποστηρίξει τα όρια ηλικίας για τα μέσα κοινωνικής δικτύωσης, προτείνοντας απαγορεύσεις για παιδιά κάτω των 13 ετών και απαιτήσεις γονικής συναίνεσης έως την ηλικία των 16 ετών.
Η Αυστραλία έγινε η πρώτη χώρα που απαγόρευσε πλήρως τα μέσα κοινωνικής δικτύωσης για άτομα κάτω των 16 ετών, με τα Meta, TikTok και Snapchat να συμμορφώνονται.
Η επαλήθευση ηλικίας έχει αντιμετωπίσει αντιδράσεις από ορισμένες εταιρείες τεχνολογίας που υποστηρίζουν ότι η επιβολή περιορισμών ηλικίας μπορεί να δημιουργήσει πρακτικά ζητήματα και ζητήματα απορρήτου.
Το Discord έγινε σημείο ανάφλεξης μετά την ανακοίνωση ρυθμίσεων «εφήβων εξ ορισμού» που απαιτούν από όλους τους ενήλικες να επαληθεύουν την ηλικία τους μέσω αναγνώρισης προσώπου ή κρατικής ταυτότητας.
Οι ειδικοί ασφαλείας προειδοποίησαν ότι η κίνηση αυτή δημιουργούσε κεντρικές «αποθήκες» ταυτοτήτων ευάλωτες σε κυβερνοεπιθέσεις, αναγκάζοντας τελικά την πλατφόρμα να καθυστερήσει την παγκόσμια εφαρμογή του μέτρου. 405 ερευνητές ασφαλείας υπέγραψαν ανοιχτή επιστολή προειδοποιώντας ότι αυτοί οι νόμοι μειώνουν την ιδιωτικότητα και αυξάνουν τους κινδύνους επιτήρησης.
