Η εφαρμογή πιστοποίησης ηλικίας της Κομισιόν για τα social media μπορεί να χακαριστεί σε δύο λεπτά

Σοβαρά κενά ασφαλείας στην εφαρμογή επαλήθευσης ηλικίας της ΕΕ που παρουσίασε την Τετάρτη η πρόεδρος της Ευρωπαϊκής Επιτροπής, Ούρσουλα φον ντερ Λάιεν, καταγγέλλει ειδικός, παρουσιάζοντας σε βίντεο πώς μπορεί να χακαριστεί μέσα σε μόλις δύο λεπτά.

Ο Πολ Μουρ, σύμβουλος ασφαλείας, περιέγραψε λεπτομερώς αυτό που χαρακτήρισε ως θεμελιώδη ελαττώματα σχεδιασμού στο σύστημα επαλήθευσης ηλικίας της ΕΕ. «Σοβαρά, φον ντερ Λάιεν, αυτό το προϊόν θα είναι ο καταλύτης για μια τεράστια παραβίαση κάποια στιγμή. Είναι απλώς θέμα χρόνου», έγραψε χαρακτηριστικά σε ανάρτησή του στο X.

Εύκολη παράκαμψη ασφαλείας

Σύμφωνα με τον Μουρ, η εφαρμογή αποθηκεύει ένα κρυπτογραφημένο PIN τοπικά, αλλά το πιο σημαντικό είναι ότι η κρυπτογράφηση δεν συνδέεται με το θησαυροφυλάκιο ταυτότητας του χρήστη, όπου φυλάσσονται ευαίσθητα δεδομένα επαλήθευσης.

Αυτό αφήνει περιθώρια για μια εκπληκτικά απλή παράκαμψη. Διαγράφοντας συγκεκριμένες τιμές που συνδέονται με το PIN από τα αρχεία διαμόρφωσης της εφαρμογής και επανεκκινώντας την, ένας εισβολέας μπορεί να ορίσει ένα νέο PIN διατηρώντας παράλληλα την πρόσβαση στα διαπιστευτήρια που δημιουργήθηκαν στο προηγούμενο προφίλ.

Στην πραγματικότητα, η εφαρμογή δέχεται επαναχρησιμοποιημένα δεδομένα ταυτότητας υπό έναν νέο καθορισμένο έλεγχο πρόσβασης.

Έλεγχοι ασφαλείας που επαναφέρονται

Ο Μουρ επεσήμανε επίσης πρόσθετες αδυναμίες που κάνουν τις προσπάθειες παράκαμψης ακόμη πιο εύκολες.

Ο περιορισμός ρυθμού, που συνήθως χρησιμοποιείται για την αποτροπή επαναλαμβανόμενης εικασίας PIN, αποθηκεύεται ως ένας απλός μετρητής στο ίδιο επεξεργάσιμο αρχείο διαμόρφωσης. Εάν το επαναφέρετε στο μηδέν, το σύστημα ξεχνά πόσες προσπάθειες έχουν ήδη γίνει.

Ο βιομετρικός έλεγχος ταυτότητας, εν τω μεταξύ, ελέγχεται από μια μόνο αληθή ή ψευδή ένδειξη. Αλλάξτε το από «αληθές» σε «ψευδές» και η εφαρμογή απλώς παραλείπει εντελώς τους βιομετρικούς ελέγχους.

Πρόβλημα σχεδιασμού και όχι απλά σφάλμα

Αρκετοί προγραμματιστές αντέδρασαν στο διαδίκτυο, αμφισβητώντας τον σχεδιασμό. Τα ευαίσθητα δεδομένα ελέγχου ταυτότητας δεν πρέπει ποτέ να είναι άμεσα προσβάσιμα ή επεξεργάσιμα από τους τελικούς χρήστες.

«Γιατί δεν χρησιμοποίησαν τον ασφαλή θύλακα;» ρώτησε ένας, τονίζοντας ότι μια τέτοια λειτουργία είναι διαθέσιμη στα σύγχρονα smartphones.

Άλλοι εξέφρασαν ευρύτερες ανησυχίες σχετικά με τη λογική της εφαρμογής, συμπεριλαμβανομένων των ορίων για το πόσες φορές μπορεί ένας χρήστης να επαληθεύσει την ηλικία του και την παρουσία ημερομηνιών λήξης στα διαπιστευτήρια ηλικίας.

«Γιατί η απόδειξη ηλικίας έχει ημερομηνία λήξης; Μόλις γίνω 18 ετών, θα είμαι πάντα άνω των 18. Δεν γίνομαι νεότερος!» είπε ένας άλλος.

Ευρεία υιοθέτηση της επαλήθευσης ηλικίας

Πάντως, οι χώρες που προσπαθούν να υιοθετήσουν μέτρα για τον περιορισμό της χρήσης διαδικτυακών πλατφορμών από παιδιά, ολοένα και αυξάνονται. Οι νομοθέτες της ΕΕ είχαν προηγουμένως υποστηρίξει τα όρια ηλικίας για τα μέσα κοινωνικής δικτύωσης, προτείνοντας απαγορεύσεις για παιδιά κάτω των 13 ετών και απαιτήσεις γονικής συναίνεσης έως την ηλικία των 16 ετών.

Η Αυστραλία έγινε η πρώτη χώρα που απαγόρευσε πλήρως τα μέσα κοινωνικής δικτύωσης για άτομα κάτω των 16 ετών, με τα Meta, TikTok και Snapchat να συμμορφώνονται.

Η επαλήθευση ηλικίας έχει αντιμετωπίσει αντιδράσεις από ορισμένες εταιρείες τεχνολογίας που υποστηρίζουν ότι η επιβολή περιορισμών ηλικίας μπορεί να δημιουργήσει πρακτικά ζητήματα και ζητήματα απορρήτου.

Το Discord έγινε σημείο ανάφλεξης μετά την ανακοίνωση ρυθμίσεων «εφήβων εξ ορισμού» που απαιτούν από όλους τους ενήλικες να επαληθεύουν την ηλικία τους μέσω αναγνώρισης προσώπου ή κρατικής ταυτότητας.

Οι ειδικοί ασφαλείας προειδοποίησαν ότι η κίνηση αυτή δημιουργούσε κεντρικές «αποθήκες» ταυτοτήτων ευάλωτες σε κυβερνοεπιθέσεις, αναγκάζοντας τελικά την πλατφόρμα να καθυστερήσει την παγκόσμια εφαρμογή του μέτρου. 405 ερευνητές ασφαλείας υπέγραψαν ανοιχτή επιστολή προειδοποιώντας ότι αυτοί οι νόμοι μειώνουν την ιδιωτικότητα και αυξάνουν τους κινδύνους επιτήρησης.