Neskutečná blamáž Ursuly von der Leyenové a bruselské aplikace na ověření věku, hackeři tvrdí, že její prolomení trvá 2 minuty. Nově představená mobilní appka EU na ověřování věku se krátce po svém uvedení dostala pod ostrou kritiku odborníků na kyberbezpečnost. Ti upozorňují na závažné nedostatky v ochraně dat i samotném fungování nástroje, který má pomoci omezit přístup nezletilých mimo jiné k sociálním sítím. Šéfka Evropské komise Ursula von der Leyenová přitom představila appku jako „technicky hotovou“.
Aplikace už předtím vzbudila kritiku organizací věnujících se ochraně soukromí. Kritici varují, že opatření může ohrozit soukromí i svobodu projevu. Podobný boj se dlouhé roky vedl o nařízení nazývané Chat Control, které bylo postavené na podobném argumentu ochrany dětí. Nový systém by mohl znamenat, že všichni uživatelé v EU, a to včetně turistů, budou muset pro přístup k některým online službám prokázat svůj věk.
Předsedkyně Evropské komise Ursula von der Leyenová při středečním představení v Bruselu uvedla, že aplikace je „technicky připravená“ a brzy bude dostupná veřejnosti. Zdůraznila také její otevřenost: „Je plně open source. Každý si může kód zkontrolovat.“
Právě otevřenost kódu však vedla k okamžité reakci expertů. Ti začali aplikaci analyzovat prostřednictvím platformy GitHub a rychle identifikovali řadu slabin. Bezpečnostní konzultant Paul Moore upozornil, že aplikace ukládá citlivá data přímo v zařízení uživatele bez adekvátní ochrany. Podle jeho slov se mu podařilo systém prolomit „za méně než dvě minuty“. Na podobné problémy poukázal i francouzský etický hacker Baptiste Robert. Ten uvedl, že aplikace umožňuje obejít biometrické zabezpečení, což by potenciálně umožnilo přístup bez použití PIN kódu či otisku prstu.
Blamáž a katastrofa Leyenové a Bruselu
Celá situace se podle mění v PR blamáž a katastrofu pro Leyenovou a Brusel. Evropská komise v pátek trvala na svém, že aplikace je technicky připravená. „Ano, je připravená. Možná můžeme dodat: a vždy ji lze zlepšit,“ uvedla hlavní mluvčí Paula Pinhoová. Evropská komise se proti kritice ohradila s tím, že analyzovaná verze aplikace nebyla finální. Ve vyjádření uvedla, že hackeři testovali starší „demo verzi“, která byla určena pouze pro účely vývoje a testování, přičemž zmiňovaná zranitelnost již byla podle Komise opravena. Odborníci Paul Moore a Olivier Blazy však toto tvrzení zpochybnili, podle nich testy prováděli na nejnovější verzi dostupné online.
Samotná aplikace nebude pro platformy povinná, ale Komise ji označuje za preferované řešení. Firmy, které zvolí jiný přístup, budou muset prokázat, že je stejně účinný.
AN
Zdroje a obrázky: Politico; Pixabay
