هک برنامه جدید تایید سن اتحادیه اروپا تنها ۲ دقیقه زمان می‌برد

کمیسیون اروپا پلتفرمی متن‌باز برای کنترل سن کاربران شبکه‌های اجتماعی معرفی کرد، اما این ابزار بلافاصله پس از انتشار با چالش‌های امنیتی جدی روبه‌رو شد. بررسی‌ها نشان می‌دهد نقص‌های موجود در نحوه ذخیره‌سازی داده‌ها به نفوذگران اجازه می‌دهد در مدت کوتاهی کنترل پروفایل کاربران را در اختیار بگیرند و سازوکار احراز هویت را دور بزنند.

کد خبر : 1050467

اشتراک گذاری

اورسولا فون‌درلاین، رئیس کمیسیون اروپا، هفته قبل در بروکسل اعلام کرد این سامانه از نظر فنی آماده است و به‌زودی برای کمک به کشور‌ها در محدودسازی دسترسی کودکان به شبکه‌های اجتماعی در دسترس قرار می‌گیرد. او تأکید کرده بود که کد‌های این برنامه کاملاً متن‌باز است. با این حال، انتشار همین کد‌ها فوراً به فرصتی برای شناسایی آسیب‌پذیری‌ها تبدیل شد و کارشناسان حریم خصوصی و امنیت سایبری پس از انتشار آن در گیت‌هاب مجموعه‌ای از ایراد‌های ساختاری را گزارش کردند. این وضعیت اکنون به یک چالش جدی برای مقامات بروکسل تبدیل شده و اختلافات میان فعالان حریم خصوصی، گروه‌های حقوق کودکان، شرکت‌های فناوری و سیاستمداران را درباره راهکار‌های محافظت از کودکان در فضای آنلاین پررنگ‌تر کرده است.

آسیب‌پذیری‌هایی که در طول چند ساعت کشف شدند

پل مور، مشاور امنیتی، تنها چند ساعت پس از انتشار برنامه متوجه شد داده‌های حساس روی تلفن کاربر ذخیره می‌شوند و بدون هیچ محافظتی قابل دسترسی‌اند. او در شبکه اجتماعی ایکس اعلام کرد توانسته این برنامه را در کمتر از ۲ دقیقه هک کند؛ ادعایی که واکنش‌های گسترده‌ای در جامعه امنیت سایبری برانگیخت. باپتیست رابرت، هکر کلاه‌سفید فرانسوی نیز این یافته‌ها را تأیید کرد و توضیح داد که دور زدن احراز هویت بیومتریک برنامه امکان‌پذیر است. این یعنی کاربر می‌تواند بدون وارد کردن پین‌کد یا استفاده از تشخیص چهره و اثر انگشت وارد برنامه شود و عملاً هدف اصلی این سیستم بی‌اثر شود.

اولیویه بلازی، محقق رمزنگاری و عضو کارگروه هویت دیجیتال فرانسه، نیز نمونه‌ای از این نقص ارائه کرد: اگر فردی برنامه را نصب و سن بالای ۱۸ سال خود را تأیید کند، شخص دیگری می‌تواند گوشی او را بردارد و از همان تأیید برای عبور از محدودیت‌ها استفاده کند. این مسئله نشان می‌دهد تأیید سن به کاربر واقعی دستگاه وابسته نیست.

واکنش کمیسیون اروپا و ابهام درباره نسخه نهایی

در برابر موج انتقادها، پائولا پینهو، سخنگوی کمیسیون اروپا، هفته قبل اعلام کرد برنامه از نظر فنی آماده است، اما مانند هر ابزار دیگری می‌تواند بهبود یابد. با وجود این، توماس رنیر، سخنگوی حوزه دیجیتال، رویکرد محتاطانه‌تری داشت و نسخه موجود را صرفاً یک دمو دانست که هنوز برای شهروندان منتشر نشده و قرار است به‌طور مداوم به‌روزرسانی شود.

این در حالی است که کمیسیون اروپا مدعی شده هکر‌ها نسخه آزمایشی اولیه را بررسی کرده‌اند و مشکل برطرف شده است؛ ادعایی که با گفته‌های مور و بلازی مبنی بر بررسی جدیدترین نسخه منتشرشده در تضاد قرار دارد. بلازی معتقد است متن‌باز بودن اقدامی مثبت است، اما سطح امنیت کد‌ها با استاندارد‌های مورد انتظار برای چنین پروژه‌ای فاصله دارد و عجله در انتشار می‌تواند اعتماد عمومی به کیف‌پول‌های هویت دیجیتال را تضعیف کند.

فشار سیاسی و افزایش اختلاف‌نظر‌ها

بحث‌ها درباره این برنامه شکاف عمیقی در نحوه مدیریت دسترسی آنلاین ایجاد کرده است. کشور‌های اروپایی با فشار سیاسی فزاینده برای محافظت از کودکان روبه‌رو هستند و در تلاش‌اند راهی برای کنترل سن کاربران پیدا کنند.

در همین راستا، امانوئل ماکرون، رئیس‌جمهور فرانسه، هفته قبل نشست ویدیویی‌ای با مشارکت رهبران اروپایی از جمله فون‌درلاین، جورجیا ملونی، پدرو سانچز و فریدریش مرتس برگزار کرد؛ نشستی که اهمیت موضوع را در سطح قاره نشان می‌دهد. در خارج از اروپا نیز نمونه‌هایی مانند تصمیم استرالیا برای ممنوعیت استفاده افراد زیر ۱۶ سال از تیک‌تاک و یوتیوب، الگوی مهمی برای قانون‌گذاران اروپایی شده است.

پیمانکاران و معماری فنی برنامه

کمیسیون اروپا در سال ۲۰۲۴ یک مناقصه ۴ میلیون یورویی برگزار کرد که شرکت سوئدی Scytáles و شرکت آلمانی Deutsche Telekom برنده آن شدند. ساختار برنامه به کاربران امکان می‌دهد سن خود را از طریق گذرنامه، کارت ملی یا ارائه‌دهندگان معتمد مانند بانک‌ها تأیید کنند. پلتفرم‌ها نیز تنها پاسخ «بالای سن مشخص هست یا نه» را دریافت می‌کنند، بدون آنکه به داده‌های شخصی کاربر دسترسی داشته باشند. این روش که بر اساس «اثبات با دانش صفر» طراحی شده، برای کاهش نگرانی‌های مربوط به حفظ حریم خصوصی به کار می‌رود. قرار است نسخه‌های ملی این برنامه نیز با سامانه اتحادیه اروپا سازگار باشند تا فرآیند تأیید سن در سراسر اروپا یکپارچه انجام شود.

نگرانی قانون‌گذاران درباره نقض حریم خصوصی

با وجود طراحی مبتنی بر حفظ حریم خصوصی، بسیاری از کارشناسان معتقدند فناوری تأیید سن هنوز به بلوغ کافی نرسیده است و حتی در صورت پیاده‌سازی کامل نیز کاربران می‌توانند با ابزار‌هایی مانند VPN آن را دور بزنند. بلازی یکی از ۴۰۰ کارشناس امنیت و حریم خصوصی است که در نامه‌ای سرگشاده از کمیسیون خواسته‌اند اجرای برنامه تا زمان دستیابی به اجماع علمی درباره خطرات و مزایای آن متوقف شود.

مارکتا گرگورووا، عضو پارلمان اروپا، روند فعلی را نتیجه فشار سیاسی می‌داند و تأکید می‌کند ارزیابی‌های امنیتی باید دقیق‌تر انجام شود. بیرگیت سیپل، قانون‌گذار آلمانی، این سامانه را راه‌حلی نیمه‌کاره توصیف می‌کند و پیوتر مولر، قانون‌گذار لهستانی، آن را اقدامی خطرناک در جهت ایجاد یک ابزار نظارتی متمرکز در سراسر اروپا می‌داند که می‌تواند به الگویی مشابه مدل اینترنت چین تبدیل شود.

انتهای پیام/