Σοβαρά ερωτήματα για την ασφάλεια και την αξιοπιστία της ευρωπαϊκής εφαρμογής επαλήθευσης ηλικίας στα social media έχουν προκύψει, λίγες μόλις ώρες μετά την παρουσίασή της από την Ευρωπαϊκή Επιτροπή, καθώς ειδικοί κυβερνοασφάλειας αναφέρουν ότι εντόπισαν σημαντικά κενά ασφαλείας στον κώδικά της.
Η εφαρμογή, που παρουσιάστηκε ως εργαλείο για τον έλεγχο ηλικίας χρηστών στο διαδίκτυο – με στόχο κυρίως την προστασία ανηλίκων από πρόσβαση σε ακατάλληλο περιεχόμενο – βρίσκεται ήδη στο μικροσκόπιο ερευνητών και ethical hackers, οι οποίοι υποστηρίζουν ότι μπορεί να παρακαμφθεί σχετικά εύκολα. Σύμφωνα με ειδικούς που εξέτασαν τον ανοιχτό κώδικα της εφαρμογής, εντοπίστηκαν προβλήματα που σχετίζονται με την αποθήκευση δεδομένων στη συσκευή του χρήστη χωρίς επαρκή προστασία, αλλά και αδυναμίες στους μηχανισμούς ταυτοποίησης. Ορισμένοι ερευνητές ανέφεραν ότι οι έλεγχοι ασφαλείας μπορούν να παρακαμφθούν, επιτρέποντας πιθανή χρήση της εφαρμογής από μη εξουσιοδοτημένα άτομα.
Η πρόεδρος της Ευρωπαϊκής Επιτροπής Ούρσουλα φον ντερ Λάιεν παρουσίασε το εργαλείο επαλήθευσης ηλικίας στις Βρυξέλλες την Τετάρτη, λέγοντας ότι είναι «τεχνικά έτοιμο» και θα είναι σύντομα διαθέσιμο, καθώς τα κράτη προχωρούν σε απαγορεύσεις των social media για παιδιά. «Είναι πλήρως ανοικτού κώδικα. Όλοι μπορούν να ελέγξουν τον κώδικα», είπε η φον ντερ Λάιεν. Οι ειδικοί στην κυβερνοασφάλεια και την ιδιωτικότητα άρχισαν αμέσως να εξετάζουν τον πηγαίο κώδικα στην πλατφόρμα GitHub και ανέφεραν αρκετά προβλήματα στον σχεδιασμό της εφαρμογής. Η υπόθεση εξελίσσεται σε επικοινωνιακό πλήγμα για τις Βρυξέλλες. Όμως πίσω από τη διαμάχη για τον κώδικα κρύβονται βαθύτερες διαφωνίες ανάμεσα σε υπερασπιστές της ιδιωτικότητας, οργανώσεις δικαιωμάτων των παιδιών, τεχνολογικές εταιρείες και πολιτικούς για το πώς πρέπει να προστατεύονται οι ανήλικοι στο διαδίκτυο.
Μέσα σε λίγες ώρες από την κυκλοφορία, ο σύμβουλος ασφαλείας Paul Moore διαπίστωσε ότι η εφαρμογή αποθήκευε ευαίσθητα δεδομένα στη συσκευή και τα άφηνε χωρίς προστασία, όπως έγραψε σε ευρέως διαμοιρασμένη ανάρτηση στο X. Ο Moore ισχυρίστηκε ότι «έσπασε» την εφαρμογή σε λιγότερο από 2 λεπτά.
Ο Baptiste Robert, γνωστός Γάλλος ethical hacker, επιβεβαίωσε πολλά από τα προβλήματα και δήλωσε στην POLITICO ότι ήταν δυνατό να παρακαμφθούν οι λειτουργίες βιομετρικής ταυτοποίησης, πράγμα που σημαίνει ότι κάποιος θα μπορούσε να παρακάμψει PIN ή Touch ID.
Ο Olivier Blazy, ερευνητής κρυπτογραφίας και μέλος γαλλικής ομάδας εργασίας για την ψηφιακή ταυτότητα, είπε: «Ας πούμε ότι κατέβασα την εφαρμογή, απέδειξα ότι είμαι άνω των 18, μετά ο ανιψιός μου μπορεί να πάρει το τηλέφωνό μου, να ξεκλειδώσει την εφαρμογή και να τη χρησιμοποιήσει για να αποδείξει ότι είναι άνω των 18».
Η Ευρωπαϊκή Επιτροπή την Παρασκευή υποστήριξε ότι η εφαρμογή είναι τεχνικά έτοιμη. «Ναι, είναι έτοιμη. Ίσως μπορούμε να προσθέσουμε “και πάντα μπορεί να βελτιωθεί”», είπε η επικεφαλής εκπρόσωπος Paula Pinho.
Ο εκπρόσωπος ψηφιακής πολιτικής Thomas Regnier δήλωσε: «Όταν λέμε ότι είναι τελική έκδοση, είναι… ακόμα μια demo έκδοση». Πρόσθεσε ότι το τελικό προϊόν δεν είναι ακόμη διαθέσιμο για τους πολίτες και ότι «ο κώδικας θα ενημερώνεται και θα βελτιώνεται συνεχώς… δεν μπορώ σήμερα να αποκλείσω ή να προεξοφλήσω αν θα χρειαστούν επιπλέον ενημερώσεις ή όχι».
Η Ευρωπαϊκή Επιτροπή είπε στην POLITICO ότι οι χάκερ εξέταζαν μια παλαιότερη «demo έκδοση» της εφαρμογής που είχε κυκλοφορήσει για «δοκιμές και ανάπτυξη». Το κενό ασφαλείας «έχει διορθωθεί», ανέφερε. Ωστόσο, τόσο ο Moore όσο και ο Blazy είπαν ότι έκαναν τους ελέγχους τους στην πιο πρόσφατη έκδοση του κώδικα που είναι διαθέσιμη διαδικτυακά.
«Είναι καλό που έκαναν την εφαρμογή ανοικτού κώδικα ώστε οι ειδικοί να μπορούν να τη δοκιμάσουν. Το πρόβλημα είναι ότι ο δημοσιευμένος κώδικας δεν πληροί τα πρότυπα κυβερνοασφάλειας που θα περιμέναμε για μια τόσο σημαντική εφαρμογή», είπε ο Blazy.
«Ανησυχούσαμε ότι η Επιτροπή θα λανσάρει την εφαρμογή βιαστικά, ανεξάρτητα από τα προβλήματα ασφαλείας, και τώρα βλέπουμε ότι θέλει να λανσάρει κάτι που δεν είναι τεχνικά έτοιμο», πρόσθεσε. «Μια τόσο βιαστική κυκλοφορία μπορεί να υπονομεύσει την εμπιστοσύνη σε μελλοντικά ψηφιακά πορτοφόλια ταυτότητας».
Ο Inti De Ceukelaire, γνωστός Βέλγος ethical hacker, είπε: «Για έργα ανοικτού κώδικα όπως αυτό, θα ήταν καλή ιδέα να δημοσιεύονται επίσης οι αξιολογήσεις ασφαλείας πριν από την κυκλοφορία, ώστε όλοι να μπορούν να σταθμίσουν τα οφέλη και τους κινδύνους».
Ειδικοί υποστηρίζουν ότι για ένα εργαλείο που σχετίζεται με ευαίσθητα προσωπικά δεδομένα και την πρόσβαση ανηλίκων σε ψηφιακές υπηρεσίες, τα πρότυπα ασφάλειας θα έπρεπε να είναι σημαντικά υψηλότερα ήδη από την πρώτη έκδοση. Παράλληλα, επανέρχονται οι ανησυχίες για την προστασία προσωπικών δεδομένων, καθώς και για το κατά πόσο τέτοια εργαλεία μπορούν να παρακαμφθούν μέσω απλών μεθόδων, όπως VPN ή πρόσβαση από άλλες συσκευές. Η συζήτηση πλέον μετατοπίζεται από την «αναγκαιότητα» του ελέγχου ηλικίας στην «ασφάλεια και αξιοπιστία» των εργαλείων που καλούνται να τον εφαρμόσουν.
Πηγή: Politico.eu
