Зображення: iTechua
Європейська комісія представила новий застосунок для перевірки віку, який, попри гучні обіцянки високої конфіденційності від Урсули фон дер Ляєн, був зламаний фактично за один день публічних тестів безпеки.
Гучні обіцянки та швидкий злам
Президентка Єврокомісії Урсула фон дер Ляєн заявляла, що цей сервіс дозволить користувачам підтверджувати свій вік без розкриття інших персональних даних, відповідатиме найвищим стандартам конфіденційності та виключатиме відстеження користувачів, маючи при цьому повністю відкритий код. Також підкреслювалося, що рішення технічно готове до запуску, що усуває виправдання для онлайн-платформ щодо відсутності інструментів для перевірки віку. Комісія описувала продукт як завершений та безпечний у супровідних матеріалах.
Однак ці твердження швидко викликали сумніви. Застосунок зламали без значних зусиль вже за один день. Публічна демонстрація підтвердила легкість обходу захисту: PIN-код, призначений для захисту облікових даних, легко обходився, механізм блокування скидався, а біометричну перевірку можна було повністю вимкнути. Попри це, система продовжувала генерувати валідні підтвердження віку. Для злому не знадобилися складні інструменти чи тривалий аналіз коду, що свідчить про слабку безпеку із самого початку.
Проблеми з біометричними даними
Додаткові перевірки виявили ще серйозніші недоліки в обробці біометричних даних. Під час NFC-сканування документів застосунок зчитував фото обличчя з чипа та зберігав його на пристрої у форматі PNG. Видалення файлу відбувалося лише після успішного завершення процесу; у разі збою зображення залишалося на пристрої. Ще гірша ситуація стосувалася селфі: такі зображення записувалися у зовнішню пам’ять і могли не видалятися взагалі. Це створює значні ризики витоку чутливих даних, навіть якщо фінальні токени віку захищені.
Наслідки поспішного впровадження
Розбіжність між обіцянками та реальною готовністю застосунку виглядає складною для пояснення. Урсула фон дер Ляєн представляла продукт як повністю готове, анонімне та безпечне рішення, а не як тестову чи пілотну версію. Такий підхід, коли політичні цілі випереджають технічну готовність, може мати серйозні наслідки, особливо у сферах, що стосуються документів, біометрії та цифрової ідентифікації.
Хоча аргумент про захист дітей активно використовувався під час презентації, він сам по собі не робить інструмент безпечнішим. Якщо застосунок не забезпечує базового захисту доступу та залишає біометричні дані у відкритому вигляді, жодні формулювання не компенсують його технічних недоліків. Більше того, поспішне впровадження під приводом безпеки може дати зворотний ефект, підриваючи довіру.
Ширше питання полягає в тому, як подібні системи змінюють уявлення про норму. Якщо перевірка віку через документи та біометрію стає звичайною вимогою для доступу до онлайн-сервісів, це поступово змінює очікування користувачів. Хоча застосунок ЄС подавався як доказ можливості конфіденційної перевірки віку у великих масштабах, результати тестів свідчать, що реальний рівень готовності виявився значно нижчим за офіційно заявлений.
За матеріалами: iTechua