Ειδικοί στην κυβερνοασφάλεια υποστηρίζουν ότι εντόπισαν κενά στην εφαρμογή επαλήθευσης ηλικίας των Βρυξελλών, παρά τους ισχυρισμούς της εκτελεστικής εξουσίας της ΕΕ ότι είναι «τεχνικά έτοιμη».
AI σύνοψη – βασικά σημεία της είδησης
- Η Ευρωπαϊκή Επιτροπή παρουσίασε νέα εφαρμογή για επαλήθευση ηλικίας στο διαδίκτυο
- Η Ursula von der Leyen δήλωσε ότι το εργαλείο είναι «τεχνικά έτοιμο»
- Ειδικοί κυβερνοασφάλειας εντόπισαν σοβαρά κενά σε ιδιωτικότητα και ασφάλεια
- Ο Paul Moore υποστήριξε ότι παραβίασε την εφαρμογή σε λιγότερο από 2 λεπτά
- Ο Baptiste Robert ανέφερε ότι μπορούν να παρακαμφθούν οι μηχανισμοί ταυτοποίησης
- Η εφαρμογή είναι ανοιχτού κώδικα και φιλοξενείται στην πλατφόρμα GitHub
- Η Κομισιόν παραδέχεται ότι πρόκειται ακόμη για δοκιμαστική έκδοση που θα βελτιώνεται
- Υπάρχει έντονη διαφωνία σε ευρωπαϊκό επίπεδο για το πώς πρέπει να προστατεύονται οι ανήλικοι online
- Η εφαρμογή εντάσσεται σε ευρύτερη στρατηγική περιορισμού της πρόσβασης παιδιών σε social media
- Ειδικοί προειδοποιούν ότι τέτοιες λύσεις μπορεί να υπονομεύσουν την ιδιωτικότητα ή να παρακαμφθούν εύκολα
Διαβάσαμε στο politico ένα πολύ ενδιαφέρον άρθρο σχετικά με την εφαρμογή του age verification για την πρόσβαση των ανηλίκων στα social media, ένα θέμα που μας απασχολεί όλους. Σύμφωνα με το δημοσίευμα, η παρουσίαση από την Ευρωπαϊκή Ένωση μιας εφαρμογής για κινητά τηλέφωνα που ελέγχει την ηλικία των χρηστών στο διαδίκτυο εξελίχθηκε γρήγορα αρνητικά, καθώς ειδικοί στην κυβερνοασφάλεια εντόπισαν εμφανή προβλήματα ιδιωτικότητας και ασφάλειας στον κώδικα.
Η πρόεδρος της Ευρωπαϊκής Επιτροπής, Ursula von der Leyen, παρουσίασε το εργαλείο επαλήθευσης ηλικίας στις Βρυξέλλες την Τετάρτη, δηλώνοντας ότι είναι «τεχνικά έτοιμο» και θα είναι σύντομα διαθέσιμο προς χρήση, καθώς οι χώρες κινούνται προς την απαγόρευση της πρόσβασης των παιδιών στα μέσα κοινωνικής δικτύωσης. «Είναι πλήρως ανοιχτού κώδικα. Ο καθένας μπορεί να ελέγξει τον κώδικα», δήλωσε.
Ειδικοί σε θέματα κυβερνοασφάλειας και ιδιωτικότητας εξέτασαν άμεσα τον πηγαίο κώδικα στην πλατφόρμα GitHub και ανέφεραν σειρά προβλημάτων στον σχεδιασμό της εφαρμογής.
Η υπόθεση εξελίσσεται σε κρίση δημοσίων σχέσεων για τις Βρυξέλλες. Πίσω από τη διαμάχη για τον κώδικα, ωστόσο, αναδεικνύονται βαθύτερες διαφωνίες μεταξύ υπερασπιστών της ιδιωτικότητας, οργανώσεων για τα δικαιώματα των παιδιών, τεχνολογικών εταιρειών και πολιτικών για το πώς πρέπει να προστατεύονται οι ανήλικοι στο διαδίκτυο, την ώρα που οι ηγέτες δεσμεύονται να περιορίσουν την πρόσβαση των παιδιών σε social media και ιστοσελίδες πορνογραφικού περιεχομένου.
Μέσα σε λίγες ώρες από την κυκλοφορία της εφαρμογής, ο σύμβουλος ασφάλειας Paul Moore διαπίστωσε ότι αποθηκεύει ευαίσθητα δεδομένα στο κινητό του χρήστη χωρίς επαρκή προστασία, όπως ανέφερε σε ανάρτηση που διαδόθηκε ευρέως στο X. Υποστήριξε μάλιστα ότι κατάφερε να την παραβιάσει σε λιγότερο από δύο λεπτά.
Ο Baptiste Robert, γνωστός Γάλλος «ηθικός» χάκερ, επιβεβαίωσε αρκετά από τα προβλήματα και δήλωσε στο Politico ότι είναι δυνατό να παρακαμφθούν οι λειτουργίες βιομετρικής ταυτοποίησης της εφαρμογής, κάτι που σημαίνει ότι ένας χρήστης μπορεί να αποφύγει την εισαγωγή PIN ή τη χρήση Touch ID για πρόσβαση.
Ο ερευνητής κρυπτογραφίας Olivier Blazy, μέλος γαλλικής ομάδας εργασίας για την ψηφιακή ταυτότητα, ανέφερε: «Αν κατεβάσω την εφαρμογή και αποδείξω ότι είμαι άνω των 18 ετών, τότε ο ανιψιός μου μπορεί να πάρει το τηλέφωνό μου, να ξεκλειδώσει την εφαρμογή και να τη χρησιμοποιήσει για να αποδείξει ότι είναι κι εκείνος άνω των 18».
Η Ευρωπαϊκή Επιτροπή επέμεινε την Παρασκευή στη θέση της ότι η εφαρμογή είναι τεχνικά έτοιμη. «Ναι, είναι έτοιμη. Ίσως μπορούμε να προσθέσουμε “και μπορεί πάντα να βελτιωθεί”», δήλωσε η επικεφαλής εκπρόσωπος Paula Pinho.
Ο εκπρόσωπος για τα ψηφιακά ζητήματα Thomas Regnier ανέφερε: «Όταν λέμε ότι είναι τελική έκδοση, είναι… ακόμη μια δοκιμαστική έκδοση». Πρόσθεσε ότι το τελικό προϊόν δεν είναι ακόμη διαθέσιμο στους πολίτες και ότι «ο κώδικας θα ενημερώνεται και θα βελτιώνεται συνεχώς… Δεν μπορώ σήμερα να αποκλείσω αν θα χρειαστούν επιπλέον ενημερώσεις».
Η Επιτροπή δήλωσε επίσης ότι οι χάκερ εξέταζαν παλαιότερη δοκιμαστική έκδοση που είχε κυκλοφορήσει για σκοπούς ανάπτυξης και ότι η συγκεκριμένη ευπάθεια έχει διορθωθεί. Ωστόσο, τόσο ο Moore όσο και ο Blazy υποστήριξαν ότι οι δοκιμές τους έγιναν στην πιο πρόσφατη διαθέσιμη έκδοση του κώδικα.
«Είναι θετικό ότι η εφαρμογή είναι ανοιχτού κώδικα ώστε να μπορεί να ελεγχθεί. Το πρόβλημα είναι ότι ο κώδικας που δημοσιεύτηκε δεν πληροί τα πρότυπα κυβερνοασφάλειας που θα αναμέναμε για μια τόσο κρίσιμη εφαρμογή», σημείωσε ο Blazy.
Και πρόσθεσε: «Ανησυχούσαμε ότι η Επιτροπή θα προχωρούσε σε βιαστική κυκλοφορία, ανεξάρτητα από τα ζητήματα ασφάλειας. Μια τέτοια κίνηση μπορεί να υπονομεύσει την εμπιστοσύνη στα μελλοντικά ψηφιακά πορτοφόλια ταυτότητας».
Ο Βέλγος ηθικός χάκερ Inti De Ceukelaire επισήμανε ότι για έργα ανοιχτού κώδικα θα ήταν σκόπιμο να δημοσιοποιούνται και οι αξιολογήσεις ασφάλειας πριν από την κυκλοφορία, ώστε να μπορεί να γίνει ουσιαστική στάθμιση οφέλους και κινδύνου.
«Μισοτελειωμένη» λύση
Η αντιπαράθεση γύρω από την εφαρμογή αναδεικνύει τη βαθιά διαφωνία για το πώς πρέπει να ελέγχεται η πρόσβαση των χρηστών στο διαδίκτυο, από ιστοσελίδες πορνογραφικού περιεχομένου έως πλατφόρμες κοινωνικής δικτύωσης.
Η ΕΕ και αρκετά κράτη μέλη βρίσκονται ήδη στη διαδικασία εφαρμογής μηχανισμών επαλήθευσης ηλικίας, στο πλαίσιο πολιτικής πρωτοβουλίας για την ενίσχυση της προστασίας των ανηλίκων online.
Ο Γάλλος πρόεδρος Emmanuel Macron συγκάλεσε τηλεδιάσκεψη ηγετών για το θέμα, με τη συμμετοχή της φον ντερ Λάιεν, της Giorgia Meloni, του Pedro Sánchez και του Friedrich Merz.
Η εφαρμογή επιτρέπει την επιβεβαίωση ηλικίας μέσω διαβατηρίου, εθνικής ταυτότητας ή αξιόπιστων παρόχων, όπως μια τράπεζα. Οι πλατφόρμες μπορούν να λαμβάνουν απάντηση για το αν ένας χρήστης είναι άνω συγκεκριμένου ορίου ηλικίας χωρίς πρόσβαση σε πρόσθετα προσωπικά δεδομένα, μέσω της μεθόδου «zero-knowledge proof», που στοχεύει στην προστασία της ιδιωτικότητας.
Ωστόσο, επικριτές επισημαίνουν ότι η τεχνολογία δεν είναι ακόμη επαρκώς ώριμη για να διασφαλίσει ταυτόχρονα ακρίβεια και προστασία δεδομένων, ενώ υπογραμμίζουν ότι μπορεί να παρακαμφθεί εύκολα μέσω εργαλείων όπως τα VPN.
Η Τσέχα ευρωβουλευτής Markéta Gregorová δήλωσε ότι «η διαδικασία προχωρά υπό πολιτική πίεση», ενώ η Γερμανίδα ευρωβουλευτής Birgit Sippel χαρακτήρισε την εφαρμογή «μια μισοτελειωμένη λύση που δεν ανταποκρίνεται στα ίδια τα πρότυπα της ΕΕ».
Ο Πολωνός ευρωβουλευτής Piotr Müller προειδοποίησε ότι η πρωτοβουλία ενέχει σοβαρούς κινδύνους για την ιδιωτικότητα των πολιτών, σημειώνοντας ότι «δεν μπορούμε να αποδεχθούμε τη σταδιακή δημιουργία ενός διαδικτύου κινεζικού τύπου στην Ευρώπη».
Το σχόλιο από το ελληνικό υπουργείο Ψηφιακής Διακυβέρνησης για την είδηση
«Σχετικά με δημοσιεύματα που αφορούν “χακάρισμα της Ευρωπαϊκής εφαρμογής επαλήθευσης ηλικίας”, το Υπουργείο Ψηφιακής Διακυβέρνησης και Τεχνητής Νοημοσύνης τονίζει ότι σε καμιά περίπτωση αυτό δεν αφορά το Kids Wallet ή το Gov.gr Wallet. Πρόκειται για τελείως ξεχωριστές εφαρμογές, στις οποίες εφαρμόζονται όλα τα πρωτόκολλα ασφαλείας», σημειώνει η ανακοίνωση που εξέδωσε.
