EU lansira aplikaciju za proveru uzrasta, hakeri tvrde da su za dva minuta probili njenu zaštitu

Lansiranje mobilne aplikacije Evropske unije za proveru uzrasta internet korisnika brzo se pretvorilo u problem, nakon što su stručnjaci za sajberbezbednost uočili ozbiljne propuste u zaštiti podataka i samom kodu. Predsednica Evropske komisije Ursula fon der Lajen predstavila je ovaj alat u Briselu oce nedelje, ističući da je „tehnički spreman“ i da će uskoro biti dostupan, u trenutku kada pojedine države planiraju da maloletnicima ograniče pristup društvenim mrežama.

„Potpuno je otvorenog koda. Svako može da ga proveri“, rekla je fon der Lajen.

Međutim, stručnjaci za sajber bezbednost i zaštitu privatnosti odmah su počeli da analiziraju izvorni kod objavljen na platformi GitHub i ukazali na više problema u načinu na koji je aplikacija osmišljena.

Cela situacija preti da preraste u ozbiljan reputacioni problem za Brisel. Ali iza polemike o samom kodu, kriju se dublja neslaganja između zagovornika zaštite privatnosti, organizacija za prava dece, tehnoloških kompanija i političara oko toga kako na pravi način zaštititi maloletnike na internetu, dok vlasti nastoje da ograniče njihov pristup društvenim mrežama i sajtovima za odrasle, piše Politiko.

Već nekoliko sati nakon objavljivanja aplikacije, konsultant za sajber bezbednost Pol Mur naveo je da aplikacija čuva osetljive podatke na korisnikovom telefonu bez adekvatne zaštite, o čemu je pisao u objavi na mreži Iks koja se brzo proširila. Mur tvrdi da je uspeo da probije zaštitu aplikacije za manje od dva minuta.

Baptist Rober, poznati francuski etički haker, potvrdio je mnoge od uočenih problema i rekao da je moguće zaobići biometrijsku autentifikaciju u aplikaciji, što znači da bi neko mogao da joj pristupi bez unosa PIN koda ili korišćenja otiska prsta.

„Recimo da sam preuzeo aplikaciju i dokazao da imam više od 18 godina. Nakon toga moj sestrić može da uzme moj telefon, otključa aplikaciju i iskoristi je da pokaže da je i on punoletan“, objasnio je Olivije Blazi, stručnjak za kriptografiju i član francuske radne grupe za digitalni identitet.

Evropska komisija je u petak ostala pri stavu da je aplikacija tehnički spremna za upotrebu.

„Da, spremna je. Možda možemo da dodamo i da uvek ima prostora za unapređenje“, izjavila je glavna portparolka Paula Pinjo obraćajući se novinarima.

„Kada kažemo da je ovo završna verzija, to je (…) i dalje demonstraciona verzija“, izjavio je Tomas Renje, portparol za digitalna pitanja. Dodao je da konačan proizvod još nije dostupan građanima i da će se „kod neprestano ažurirati i unapređivati… U ovom trenutku ne mogu da isključim niti da unapred procenim da li će biti potrebne dodatne izmene.“

Evropska komisija je u četvrtak saopštila da su hakeri zapravo testirali raniju „demo verziju“ aplikacije, koja je bila objavljena u svrhe testiranja i razvoja.

Naveli su da je uočeni bezbednosni propust u međuvremenu otklonjen. Međutim, i Mur i Blazi tvrde da su svoja testiranja sprovodili na najnovijoj verziji koda dostupnoj na internetu.

„Dobro je što su aplikaciju učinili otvorenom kako bi stručnjaci mogli da je analiziraju i testiraju. Problem je što objavljeni kod ne ispunjava standarde sajber bezbednosti koje bismo očekivali za ovako važnu aplikaciju. Plašili smo se da će Komisija požuriti sa lansiranjem aplikacije, bez obzira na bezbednosne nedostatke, a sada vidimo da želi da pusti u upotrebu nešto što tehnički još nije spremno. Takvo ishitreno uvođenje moglo bi da naruši poverenje u buduće digitalne identifikacione novčanike“, rekao je Blazi.