O aplicație europeană de verificare a vârstei, lansată recent, se află deja în centrul criticilor după ce un cercetător în domeniul securității a afirmat că a reușit să o ocolească în mai puțin de 2 minute.
Miercuri, UE a lansat o nouă aplicație de verificare a vârstei, concepută pentru a permite utilizatorilor să-și dovedească vârsta online fără a furniza date personale platformelor, eliminând astfel necesitatea ca site-urile să colecteze informații sensibile.
Criticile vin la scurt timp după ce Ursula von der Leyen a lăudat noua aplicație de verificare a vârstei ca fiind „gata din punct de vedere tehnic” și aliniată la „cele mai înalte standarde de confidențialitate”, subliniind natura sa open-source ca o caracteristică de transparență.
Dar acea transparență s-ar putea să fi funcționat puțin prea bine, întrucât experții în securitate au luat poziție pe X (fostul Twitter), criticând securitatea noii aplicații de identificare.
Consultantul în securitate Paul Moore a detaliat ceea ce a descris ca fiind defecte fundamentale de proiectare în sistemul de verificare a vârstei al UE.
UE a lansat un prototip al aplicației sale de verificare a vârstei în iulie 2025.
Potrivit lui Moore, aplicația stochează local un cod PIN criptat, dar, ceea ce este esențial, criptarea nu este legată de seiful de identitate al utilizatorului, unde sunt păstrate datele sensibile de verificare.
Acest lucru deschide calea către o metodă de ocolire surprinzător de simplă. Prin ștergerea anumitor valori legate de codul PIN din fișierele de configurare ale aplicației și repornirea acesteia, un atacator poate seta un nou cod PIN, păstrând în același timp accesul la datele de autentificare create în cadrul profilului anterior.
Practic, aplicația acceptă reutilizarea datelor de identitate în cadrul unui sistem de control al accesului nou definit.
Expertul a subliniat, de asemenea, alte vulnerabilități care facilitează și mai mult încercările de atac de tip „brute-force” sau de ocolire a sistemului.
Limitarea ratei, utilizată de obicei pentru a preveni ghicirea repetată a codurilor PIN, este stocată ca un simplu contor în același fișier de configurare editabil. Resetat la zero, sistemul uită câte încercări au fost deja efectuate.
Autentificarea biometrică, între timp, este controlată de un singur indicator boolean. Schimbat acest parametru de la „adevărat” la „fals”, determină aplicația să omită pur și simplu verificările biometrice.
Mai mulți dezvoltatori au reacționat online, punând la îndoială proiectarea. Datele sensibile de autentificare nu ar trebui să fie niciodată accesibile direct sau editabile de către utilizatorii finali.
Alții și-au exprimat îngrijorări mai generale cu privire la logica aplicației, inclusiv limitele privind numărul de ori în care un utilizator își poate verifica vârsta și existența unor date de expirare pentru documentele de identitate care atestă vârsta.
Confruntat cu un val de întrebări din partea jurnaliștilor în cadrul conferinței de presă, un purtător de cuvânt al Comisiei Europene a încercat să facă o distincție clară între ceea ce a fost prezentat săptămâna aceasta și ceea ce este de fapt implementat.
Oficialii au recunoscut că versiunea prezentată public nu este încă un produs finit destinat consumatorilor, chiar dacă a fost descrisă ca fiind „gata”. Comisia a declarat că aplicația prezentată „include toate funcționalitățile” planificate pentru utilizatori, dar a subliniat că, în practică, aceasta rămâne „încă o versiune demo”.
Diferența esențială, potrivit purtătorului de cuvânt, este că aplicația nu a fost încă lansată oficial pentru cetățeni. În schimb, codul sursă al acesteia a fost publicat ca open source tocmai pentru a invita la o analiză amănunțită.
„De ce am decis să o facem open source? Pentru a fi transparenți și pentru a permite comunității, dezvoltatorilor, să o testeze și, eventual, să ne ajute să o îmbunătățim”, a spus purtătorul de cuvânt.
Această deschidere, a susținut Comisia, face parte din procesul de dezvoltare, nu este un semn de eșec. Oficialii au confirmat că codul disponibil pe GitHub este actualizat în mod activ, o „nouă versiune” fiind deja în curs de elaborare în urma ultimului val de critici. Aceștia au adăugat că este prea devreme pentru a exclude alte îmbunătățiri, subliniind că actualizările vor fi continue pe măsură ce se vor primi feedback-uri.
