UE naprawia apkę do weryfikacji wieku, ale to wciąż katastrofa

Unijna aplikacja do weryfikacji wieku miała stać się przykładem narzędzia, które połączy ochronę prywatności z bezpieczeństwem użytkowników internetu. Projekt promowany przez Komisję Europejską od początku wzbudzał ogromne zainteresowanie, ponieważ miał umożliwić potwierdzanie pełnoletności bez przekazywania serwisom internetowym pełnych danych osobowych. Po fali krytyki związanej z lukami bezpieczeństwa twórcy projektu opublikowali kolejną aktualizację, jednak specjalisci wskazują, iż poprawki wcale nie usuwają najpoważniejszych wad.

Dyskusja wokół aplikacji przybrała na sile po tym, jak kilka dni temu Ursula von der Leyen publicznie stwierdziła, że rozwiązanie jest technicznie gotowe. Niedługo później przedstawiciele Komisji złagodzili ton i zaczęli określać projekt jako narzędzie nadal rozwijane.

Aktualizacja miała uspokoić krytyków

Najnowsza wersja aplikacji wprowadziła zmiany, które miały odpowiedzieć na wcześniejsze zarzuty. Dane przechowywane na urządzeniu są teraz szyfrowane, a klucze kryptograficzne mają być przechowywane w sprzętowym magazynie bezpieczeństwa telefonu. W praktyce oznacza to, że dostęp do zapisanych informacji po przejęciu urządzenia ma być znacznie trudniejszy.

Twórcy dodali również mechanizm sprawdzający integralność systemu. Aplikacja ma automatycznie blokować się na smartfonach z odblokowanym dostępem administracyjnym. Zmieniono także sposób obsługi dokumentów tożsamości. Zdjęcia paszportów mają być usuwane natychmiast po zakończeniu procesu potwierdzenia wieku, a dane biometryczne nie powinny już pozostawać w pamięci urządzenia.

Zmodyfikowano również sposób zabezpieczania kodu PIN. Wcześniej krytycy wskazywali, że przechowywanie go w prostszej formie umożliwiało obejście zabezpieczeń w zaledwie kilka minut. Po aktualizacji kod ma być haszowany i dodatkowo zabezpieczony losową solą kryptograficzną.

Eksperci nie są przekonani

Mimo zmian część środowiska bezpieczeństwa nadal ocenia projekt bardzo krytycznie. Najgłośniej wypowiada się konsultant cyberbezpieczeństwa Paul Moore, który wcześniej publicznie pokazał, jak można ominąć mechanizmy ochrony.

Jego zdaniem problem nie leży wyłącznie w pojedynczych błędach, ale w samym fundamencie architektury aplikacji. Moore zwraca uwagę, że w poprawionej wersji wykorzystano biblioteki bezpieczeństwa, które branża uznaje już za przestarzałe. W jego opinii mechanizmy wykrywania zrootowanych urządzeń przypominają rozwiązania sprzed wielu lat i mogą nie zatrzymać nowoczesnych narzędzi.

Najwięcej kontrowersji budzi fakt, że mimo poprawek zdjęcia dokumentów nadal nie są według części ekspertów szyfrowane przez cały czas przechowywania w pamięci urządzenia. To właśnie ten element wywołuje pytania o realny poziom ochrony prywatności.

„Całkowity teatr bezpieczeństwa. Nic z tego nie neguje mojego fundamentalnego argumentu. Tego nie da się naprawić kodem – to z gruntu źle pomyślane i źle wdrożone” – skomentował Moore.

Nie wszyscy widzą realne zagrożenie

Nie brakuje jednak głosów, że krytyka mogła zostać wyolbrzymiona. Część analityków uważa, że nawet skuteczne obejście zabezpieczeń nie daje dostępu do wrażliwych danych użytkownika. W ich ocenie osoba, która przejęłaby kontrolę nad aplikacją, mogłaby jedynie potwierdzić pełnoletność na wybranej stronie internetowej.

Niektórzy eksperci wskazują, że medialna burza wynika także z błędnej komunikacji ze strony instytucji europejskich. Publiczne zapewnienia o gotowości technologii zestawione z otwartym kodem zawierającym kolejne poprawki wywołały chaos informacyjny, który tylko podsycił krytykę.

Miłosz Gaczkowski, specjalista ds. bezpieczeństwa aplikacji mobilnych, opublikował na LinkedIn szczegółową kontranalizę , w której skrytykował narrację stworzoną na podstawie postów Moore'a.

Jego głównym argumentem było to, że odkryte luki są realne, ale panika, jaką wywołały, jest skrajnie nieproporcjonalna do rzeczywistego ryzyka. Według Gaczkowskiego, obejście PIN-u, które przyciągnęło najwięcej uwagi opinii publicznej, nie pozwoli nikomu na wykradzenie poufnych danych.

„Jeśli atakujący ominie kod PIN tej aplikacji – czyli ukradnie Twój telefon, który był już zrootowany i który akurat w momencie kradzieży był odblokowany – może wykorzystać Twój telefon do potwierdzenia swojego wieku na stronie internetowej przeznaczonej dla osób powyżej 18. roku życia” – wyjaśnił.

„Wygląda na to, że to wszystko. Nie ma żadnych poufnych danych osobowych do wydobycia, żadnych danych uwierzytelniających, niczego.”

Gaczkowski skrytykował zespół ds. komunikacji Komisji Europejskiej. Jednoczesne opublikowanie kodu proof-of-concept, który nie jest gotowy do produkcji, i publiczne deklarowanie technologii jako „technicznie gotowej” było jego zdaniem porażką.