Ειδικοί κυβερνοασφάλειας καταγγέλλουν σοβαρά κενά στον κώδικα της εφαρμογής ηλικιακής επαλήθευσης της ΕΕ για τα social media και επικρίνουν τις Βρυξέλλες.
Η εφαρμογή επαλήθευσης ηλικίας που ανέπτυξε η Ευρωπαϊκή Ένωση με στόχο να προστατεύσει τα παιδιά από τις επιπτώσεις των μέσων κοινωνικής δικτύωσης βρέθηκε αμέσως μετά την παρουσίασή της στο επίκεντρο κριτικής για την ασφάλεια και την ιδιωτικότητα.
ΔΙΑΦΉΜΙΣΗ
ΔΙΑΦΉΜΙΣΗ
Οι ειδικοί στην κυβερνοασφάλεια υποστηρίζουν ότι στον κώδικα της εφαρμογής υπάρχουν «προφανή κενά» και ασκούν δριμεία κριτική στις Βρυξέλλες.
Ούρσουλα Φον ντερ Λάιεν: «Τεχνικά έτοιμη»
Η πρόεδρος της Ευρωπαϊκής Επιτροπής Ούρσουλα φον ντερ Λάιεν, παρουσιάζοντας την εφαρμογή στις Βρυξέλλες, δήλωσε ότι το σύστημα είναι «τεχνικά έτοιμο» και ότι σύντομα θα τεθεί σε λειτουργία.
Τονίζοντας ότι το σύστημα βασίζεται σε λογισμικό ανοικτού κώδικα, η Φον ντερ Λάιεν ανέφερε: «Ο καθένας μπορεί να εξετάσει τον κώδικα».
Μετά από αυτές τις δηλώσεις, οι ειδικοί άρχισαν να εξετάζουν τον κώδικα της εφαρμογής.
Πώς λειτουργεί το σύστημα;
Η εφαρμογή επιτρέπει στους χρήστες να επαληθεύουν την ηλικία τους με χρήση διαβατηρίου, δελτίου ταυτότητας ή μέσω αξιόπιστων παρόχων όπως οι τράπεζες.
Σε τεχνικό επίπεδο, η εφαρμογή λειτουργεί ως ένα «ψηφιακό εργαλείο ταυτοποίησης». Οι χρήστες μπορούν να επιβεβαιώνουν την ηλικία τους με το διαβατήριο ή την ταυτότητά τους ή μέσω αξιόπιστων παρόχων όπως οι τράπεζες.
Το κρίσιμο σημείο είναι το εξής: οι πλατφόρμες (για παράδειγμα ένας ιστότοπος κοινωνικής δικτύωσης) δεν λαμβάνουν την πλήρη ταυτότητα του χρήστη, αλλά μόνο την πληροφορία αν είναι «άνω των 18 ετών». Η προσέγγιση αυτή βασίζεται σε μια μέθοδο κρυπτογράφησης που ονομάζεται zero-knowledge proof (απόδειξη μηδενικής γνώσης).
Το έργο αναπτύχθηκε από τη σουηδική εταιρεία Scytáles και την Deutsche Telekom, οι οποίες κέρδισαν τον διαγωνισμό ύψους 4 εκατ. ευρώ που προκηρύχθηκε το 2024.
Οι ειδικοί εντοπίζουν κενά ασφαλείας
Οι ερευνητές που εξέτασαν τον κώδικα της εφαρμογής στο GitHub επισημαίνουν σοβαρά προβλήματα σχεδιασμού.
Ο σύμβουλος ασφαλείας Πολ Μουρ ανέφερε ότι η εφαρμογή αποθηκεύει ευαίσθητα δεδομένα στο τηλέφωνο του χρήστη χωρίς προστασία και υποστήριξε ότι κατάφερε να «χακάρει» το σύστημα σε λιγότερο από δύο λεπτά.
Σύμφωνα με τον Μουρ, ο μηχανισμός ταυτοποίησης μπορεί να παρακαμφθεί εύκολα. Κατά την εγκατάσταση η εφαρμογή ζητά από τον χρήστη να δημιουργήσει ένα PIN. Κανονικά αυτό το PIN θα έπρεπε να αποθηκεύεται με ασφαλή τρόπο και να συνδέεται στενά με την ταυτότητα του χρήστη.
Ωστόσο, σύμφωνα με τους ισχυρισμούς του, το PIN κρυπτογραφείται και αποθηκεύεται σε ένα αρχείο στο τηλέφωνο, αλλά δεν συνδέεται επαρκώς με το σύστημα όπου τηρούνται τα κύρια στοιχεία ταυτότητας. Αυτό σημαίνει ότι ένας χάκερ μπορεί να αλλάξει το συγκεκριμένο αρχείο στη συσκευή, να μηδενίσει το PIN και να ορίσει ένα νέο, ενώ τα ήδη επαληθευμένα στοιχεία ταυτότητας του προηγούμενου χρήστη παραμένουν ως έχουν.
Ο Γάλλος «χάκερ» Μπαπτίστ Ρομπέρ επιβεβαίωσε τα ευρήματα. Μιλώντας στο Politico, ο Ρομπέρ ανέφερε ότι το βιομετρικό σύστημα επαλήθευσης της εφαρμογής μπορεί να παρακαμφθεί εύκολα· δηλαδή είναι δυνατή η πρόσβαση στην εφαρμογή χωρίς χρήση PIN ή δακτυλικού αποτυπώματος.
Ο ειδικός στην κρυπτογράφηση Ολιβιέ Μπλαζί το περιέγραψε με ένα πιο απτό παράδειγμα: «Αφού αποδείξω μέσω της εφαρμογής ότι είμαι άνω των 18, ο ανιψιός μου μπορεί να πάρει το τηλέφωνό μου και να χρησιμοποιήσει την ίδια εφαρμογή για να εμφανίζεται κι εκείνος ως άνω των 18».
Η Επιτροπή δεν κάνει πίσω
Παρά την κριτική, η Ευρωπαϊκή Επιτροπή συνεχίζει να στηρίζει την εφαρμογή. Σε ανακοίνωσή της, η Επιτροπή υποστήριξε ότι οι επικρίσεις βασίζονται σε μια «παλιά demo έκδοση» και ότι το εντοπισμένο κενό έχει ήδη διορθωθεί. Ωστόσο, τόσο ο Μουρ όσο και ο Μπλαζί δηλώνουν ότι πραγματοποίησαν τις δοκιμές τους στον πιο πρόσφατο διαθέσιμο κώδικα.
Ο εκπρόσωπος για τα ψηφιακά μέσα Τόμας Ρενιέ αναγνώρισε ότι η εφαρμογή δεν είναι ακόμη η τελική της έκδοση, λέγοντας: «Αυτό που αποκαλούμε τελική έκδοση είναι στην πραγματικότητα ακόμη ένα demo». Πρόσθεσε ότι ο κώδικας θα ενημερώνεται συνεχώς.
Έγινε βιαστικά;
Κατά τους ειδικούς, το πρόβλημα δεν είναι μόνο τεχνικό. Ο Μπλαζί αναγνώρισε ότι η επιλογή του ανοικτού κώδικα είναι ένα σωστό βήμα, τόνισε όμως ότι ο δημοσιευμένος κώδικας δεν πληροί τα αναμενόμενα πρότυπα κυβερνοασφάλειας για μια τόσο κρίσιμη εφαρμογή.
«Μας ανησυχούσε το ενδεχόμενο η Επιτροπή να κυκλοφορήσει την εφαρμογή βιαστικά, παρά τα προβλήματα ασφαλείας. Μια τέτοια εξέλιξη θα μπορούσε να πλήξει την εμπιστοσύνη στα μελλοντικά έργα ψηφιακής ταυτότητας», σημείωσε ο Μπλαζί.
Κρυμμένη κρίση
Η αντιπαράθεση γύρω από την εφαρμογή επαλήθευσης ηλικίας στην πραγματικότητα αποκαλύπτει βαθύτερες ρήξεις. Στην Τουρκία και παγκοσμίως, ενώ οι κυβερνήσεις επιχειρούν να θεσπίσουν συστήματα ελέγχου ηλικίας για να προστατεύσουν τα παιδιά από τα μέσα κοινωνικής δικτύωσης και πορνογραφικό περιεχόμενο, υπάρχουν σοβαρές διαφωνίες μεταξύ υπερασπιστών της ιδιωτικότητας, εταιρειών τεχνολογίας και πολιτικών.
Ο πρόεδρος της Γαλλίας Εμανουέλ Μακρόν συγκάλεσε τηλεδιάσκεψη ευρωπαίων ηγετών για να εξετάσουν το ζήτημα. Στη συνάντηση συμμετείχαν, μεταξύ άλλων, η Τζόρτζια Μελόνι από την Ιταλία, ο Πέδρο Σάντσεθ από την Ισπανία και ο Φρίντριχ Μερτς από τη Γερμανία.
«Η τεχνολογία δεν είναι έτοιμη, παρακάμπτεται εύκολα»
Κατά τους επικριτές, τέτοια συστήματα δεν έχουν ακόμη ωριμάσει ώστε να είναι πραγματικά ασφαλή και να προστατεύουν την ιδιωτικότητα. Επιπλέον, επισημαίνουν ότι οι χρήστες μπορούν εύκολα να παρακάμψουν τους περιορισμούς ηλικίας με εργαλεία όπως τα VPN.
Τον Μάρτιο, περισσότεροι από 400 ειδικοί έστειλαν ανοικτή επιστολή στην Ευρωπαϊκή Επιτροπή ζητώντας την επιβολή «μορατόριουμ» (προσωρινής αναστολής) στο έργο, έως ότου ξεκαθαριστούν οι επιπτώσεις αυτών των τεχνολογιών.
Η ευρωβουλευτής Μαρκέτα Γκρεγκορόβα, από την Τσεχία, που εργάζεται πάνω στο νομοσχέδιο στο Ευρωπαϊκό Κοινοβούλιο, δήλωσε ότι η διαδικασία «επισπεύστηκε υπό πολιτική πίεση». Η Γερμανίδα ευρωβουλευτής Μπίργκιτ Σίπελ χαρακτήρισε την εφαρμογή «μια πρόχειρη λύση που δεν πληροί ούτε τα ίδια τα πρότυπα της ΕΕ».