ЕУ завчера ја претстави новата апликација за проверка на возраста, дизајнирана да им овозможи на корисниците да ја докажат својата возраст без да предаваат лични податоци на платформи и така да ги спречат веб-страниците да собираат чувствителни информации.
Претседателката Урсула фон дер Лајен го нагласи дека отворениот код на апликацијата е во функција за транспарентност. Но, со транспарентноста можеби се претерало, бидејќи експертите за кибернетска безбедност веднаш откриле пропусти и со едноставен маневар успеале да ја заобиколат проверката.
Сериозно, Фон дер Лајен, овој производ ќе биде катализатор за огромно кршење на безбедноста во одреден момент. Само е прашање на време, предупреди консултантот за безбедност Пол Мур, кој ја пробил заштитата за помалку од две минути.
Според него, апликацијата локално складира шифриран ПИН, кој не е поврзан со базата за идентитет на корисникот, каде што се чуваат чувствителните податоци за верификација. Со бришење на специфични вредности поврзани со ПИН-от од конфигурациските датотеки на апликацијата, потенцијален напаѓач може да постави нов ПИН, а сепак да го задржи пристапот до акредитивите креирани во претходниот профил.
Мур прикажува едноставен начин да се прескокнат биометриските проверки на корисникот и открива други дупки што олеснуваат заобиколување на заштитата.
Ограничувањето на брзината, кое обично се користи за да се спречи повторно погодување на ПИН-овите, се чува како едноставен бројач во истата датотека за уредување. Ресетирајте ја на нула и системот заборава колку обиди се веќе направени, укажува Мур.
Други програмери го оспоруваат дизајнот и укажуваат дека чувствителните податоци за верификација никогаш не треба да бидат директно достапни за крајните корисници.
Апликацијата содржи и логички пропусти во рокот на истекување на акредитивите за возраста.
Откако ќе наполнам 18 години, секогаш ќе имам над 18 години. Нема да станувам помлад, пишува во еден коментар.
Повеќе од 400 истражувачи за безбедност потпишаа отворено писмо во кое предупредуваат дека законите за проверка на возраста, не само во ЕУ, ја загрозуваат приватноста на корисниците и ги зголемуваат ризиците од надзор. Истраги на Cybernews претходно открија дека регулативите насочуваат милиони корисници кон бесплатни VPN мрежи, кои се уште поризични.
