Lansarea aplicației europene de verificare a vârstei, marcată de vulnerabilități majore
Ursula von der Leyen a anunțat public lansarea aplicației europene pentru verificarea vârstei, fiind prezentată ca o soluție sigură și transparentă pentru protejarea minorilor online. Însă, la câteva ore după prezentare, experții în securitate au descoperit defecte serioase care slăbesc încrederea în funcționalitatea acesteia și ridică întrebări despre eficiența sa.
Probleme de securitate apărute aproape imediat
Experții în securitate au identificat, în scurt timp, vulnerabilități semnificative în sistem. Date sensibile stocate în aplicație erau neprotejate, autentificarea biometrică putea fi ocolită cu ușurință, iar scenarii simple permiteau unui copil să folosească telefonul unui adult pentru a păcăli sistemul.
Se arată că PIN-ul aplicației era stocat într-un fișier XML editabil, ușor accesibil, iar mecanismele de protecție nu erau suficient de robuste. Contorul de încercări greșite putea fi resetat manual, iar autentificarea biometrică putea fi dezactivată prin modificarea unei valori din „true” în „false”.
Un alt defect critic era reprezentat de vulnerabilități care permiteau unui minor să folosească telefonul unui adult pentru a trece verificarea, ceea ce contravene, aparent, scopului inițial al aplicației. Aceste deficiențe tehnice indică un sistem fragil, susceptibil la exploatare.
Contextul și controversele în jurul aplicației
Implementarea proiectului a costat aproximativ patru milioane de euro, fiind dezvoltate de companii precum Scytales și Deutsche Telekom. În martie, peste 400 de cercetători în securitate și privacy au solicitat un moratoriu asupra proiectului, cerând un audit independent, însă inițiativa nu a fost suspendată.
Specialiștii și ONG-urile specializate avertizează asupra faptului că vulnerabilitățile tehnice reflectă o problemă structurală mai amplă. Aplicația intenționează să limiteze datele personale necesare verificării, însă gestionarea autentificării prin documente oficiale și biometrie deschide calea pentru breșe de securitate majore.
Modul de funcționare și vulnerabilitățile sistemului
Conform prezentării oficiale, utilizatorul trebuie să se autentifice în aplicație cu ajutorul unui document oficial, precum buletin sau pașaport. După această etapă, se generează o dovadă digitală, ce poate fi prezentată pe diverse platforme online pentru a demonstra că utilizatorul are peste 18 ani. Aceasta ar urma să limiteze schimbul de date personale pe internet.
Însă, vulnerabilitățile tehnice au demonstrat cât de fragile sunt aceste mecanisme. Auditurile de securitate au relevat că datele sensibile pot fi manipulate sau expuse cu ușurință.
Pentru a demonstra fragilitatea sistemului, au fost identificate soluții simple de deblocare a mecanismelor de securitate. PIN-ul stocat în fișiere editabile permitea resetarea facilă, iar autentificarea biometrică putea fi dezactivată schimbând o singură valoare. Aceste erori oferă un context periculos pentru utilizatori.
Un alt scenariu preventiv, indicat de cercetători, este ca un adult să-și verifice vârsta o singură dată, iar un minor să utilizeze telefonul pentru a trece verificarea, ceea ce contrazice scopul inițial de prevenire a accesului nepotrivit pentru minori. Pentru a elimina această vulnerabilitate, ar fi necesară autentificarea continuă, ceea ce ar complica utilizarea.
Riscuri pentru siguranța datelor și măsuri de protecție
Vulnerabilitățile sistemului sporesc atractivitatea pentru infractori, întrucât stocarea și gestionarea datelor biometrice și de identificare crește riscul de furt de identitate, fraudă sau phishing.
Deși proiectul are ca scop reducerea riscului asociat accesului minorilor pe internet, el expune utilizatorii la riscuri suplimentare legate de gestionarea unor volume mari de informații sensibile. În plus, această abordare poate determina utilizatorii să apeleze la platforme alternative mai puțin reglementate, unde controlul și securitatea sunt mai reduse.
Experiențele din alte țări arată că astfel de sisteme pot fi ocolite cu ușurință. Minori au găsit metode de a trece de verificare folosind conturi ale adulților, VPN-uri sau exploatând erori ale sistemelor de estimare a vârstei, fără a demonstra o reducere clară a fenomenelor negative precum cyberbullying-ul sau abuzurile online.
În contextul în care acest proiect a fost dezvoltat cu fonduri de aproximativ patru milioane de euro, implementarea sa ridică întrebări despre eficiența și siguranța soluției, având în vedere vulnerabilitățile identificate și lipsa unui audit independent.