BRUSEL - Európsa únia tento týždeň predstavila novú aplikáciu na overenie veku, ktorá umožňuje používateľom preukázať svoj vek online bez toho, aby platformám poskytovali osobné údaje, čím sa odstráni potreba zhromažďovať citlivé informácie pre webové stránky. Netrvalo však dlho a schytala ostrú kritiku. Bezpečnostný konzultant Paul Moore napríklad tvrdí, že jej ochranu obišiel za menej ako dve minúty.
Aplikáciu pochválila osobne aj predsedníčka Európskej komisie Ursula von der Leyenová a označila ju za „technicky pripravenú“ a v súlade s „najvyššími štandardmi ochrany súkromia“. Zdôraznila tiež jej open-source charakter ako prvok transparentnosti.
Aplikácia má vyriešiť online vekové overovanie citlivejšie než doteraz. Používateľ by mal vedieť potvrdiť, že je plnoletý, bez toho, aby webom odovzdával viac osobných údajov, než je nevyhnutné, píše web Techbyte.
Európska komisia navyše pri projekte zdôrazňuje otvorený kód a vysoký dôraz na súkromie. Práve spomínaná otvorenosť sa však stala dvojsečnou zbraňou.
Bezpečnostní experti upozornili, že niektoré jeho ochranné mechanizmy sú navrhnuté príliš slabo. Bezpečnostný konzultant Paul Moore hovorí o zásadných nedostatkoch v systéme overovania veku v EÚ. „Vážne, von der Leyenová – tento produkt bude v určitom okamihu katalyzátorom obrovského narušenia bezpečnosti. Je to len otázka času,“ odkázal.
Podľa Moora aplikácia ukladá šifrovaný PIN kód lokálne v zašifrovanej podobe, no šifrovanie , ale čo je dôležité, šifrovanie nie je pevne naviazané na samotný používateľský trezor s overovacími údajmi. V praxi to má znamenať, že po zásahu do konfiguračných súborov možno určité hodnoty vymazať, aplikáciu reštartovať a nastaviť nový PIN bez toho, aby sa stratili predtým vytvorené prístupové údaje.
Moore tiež poukázal na ďalšie slabiny. Obmedzenie rýchlosti, ktoré sa zvyčajne používa na zabránenie opakovanému hádaniu PIN kódov, je uložené ako jednoduché počítadlo v tom istom upraviteľnom konfiguračnom súbore. Ak ho vynulujete, systém zabudne, koľko pokusov už bolo vykonaných. Kritizoval aj biometrické overovanie, ktoré je zasa riadené jedným jednoduchým prepínačom. Ak ho prepnete z „true“ na „false“, aplikácia biometrické kontroly jednoducho úplne preskočí.
Ďalší vývojári následne spochybnili, prečo systém nevyužíva bezpečnostné možnosti, ktoré sú bežne dostupné na moderných smartfónoch.
