Uniunea Europeană tocmai a prezentat o aplicație de verificare a vârstei online menită să permită utilizatorilor să-și dovedească vârsta fără a transmite date personale platformelor, eliminând astfel necesitatea colectării de informații sensibile de către site-uri.
Ursula von der Leyen a lăudat aplicația ca fiind „pregătită din punct de vedere tehnic” și aliniată cu „cele mai înalte standarde de confidențialitate”, subliniind natura sa open-source ca element de transparență. Tocmai această transparență s-a dovedit a fi o sabie cu două tăișuri: codul deschis a permis cercetătorilor de securitate să identifice rapid vulnerabilități critice.
Bypass-ul de securitate care a stârnit alarma
Consultantul în securitate Paul Moore a detaliat ceea ce el a descris ca defecte fundamentale de design ale sistemului european de verificare a vârstei, afirmând că a reușit să ocolească protecțiile aplicației în mai puțin de două minute.
Potrivit acestuia, aplicația stochează un PIN criptat local, dar criptarea nu este legată de seiful de identitate al utilizatorului, acolo unde sunt păstrate datele sensibile de verificare. Prin ștergerea unor valori specifice asociate PIN-ului din fișierele de configurare ale aplicației și repornirea acesteia, un atacator poate seta un PIN nou, păstrând în același timp accesul la credențialele create sub profilul anterior.
Controalele de securitate care se resetează singure
Moore a semnalat și alte vulnerabilități care fac tentativele de bypass și mai simple: rata de limitare a încercărilor de ghicire a PIN-ului este stocată ca un simplu contor în același fișier de configurare editabil, astfel că resetarea lui la zero face ca sistemul să „uite” câte tentative au fost deja efectuate.
Relaționat
Autentificarea biometrică, la rândul ei, este controlată de un singur parametru boolean, care dacă este setat din „true” în „false”, dezactivează complet verificarea biometrică. „Serios, Von der Leyen – acest produs va fi catalizatorul unei breșe enorme la un moment dat. E doar o chestiune de timp”, a avertizat Moore.
O problemă de design, nu doar un bug
Mai mulți dezvoltatori au reacționat public, punând la îndoială arhitectura de bază a aplicației: datele sensibile de autentificare nu ar trebui să fie niciodată direct accesibile sau editabile de către utilizatorii finali. Aceștia au ridicat întrebări legate de logica aplicației, inclusiv limitele privind numărul de ori în care un utilizator poate să-și verifice vârsta și prezența datelor de expirare pe acreditările de vârstă.
„De ce are o dată de expirare dovada de vârstă? Odată ce am trecut de 18 ani, voi avea mereu peste 18 ani. Nu mă fac mai tânăr!”, a ironizat unul dintre comentatori. Aplicația UE pentru verificarea vârstei a trecut printr-o etapă de prototip lansată în iulie 2025.
Reacția lui Pavel Durov și contextul mai larg
Pavel Durov, fondatorul aplicației Telegram, a reacționat prompt pe X (fostul Twitter), comentând ironic că „aplicația de verificare a vârstei” pe care UE vrea să o impună la nivel global a fost spartă în două minute, adăugând că mecanismul ar urma un tipar previzibil: prezentarea unei soluții aparent prietenoase cu confidențialitatea, urmată de compromiterea ei și, în final, de eliminarea protecțiilor sub pretextul remedierii problemei.
Verificarea vârstei online câștigă tot mai mult teren la nivel global: Regatul Unit a impus site-urilor pentru adulți implementarea unor astfel de sisteme până la mijlocul anului 2025, Australia a interzis accesul rețelelor sociale pentru utilizatorii sub 16 ani, iar platforma Reddit a primit o amendă de 20 de milioane de dolari pentru nerespectarea cerințelor de verificare.
Întrebarea care rămâne în suspans este dacă o arhitectură vulnerabilă la nivel de design poate fi remediată fără a sacrifica tocmai principiile de confidențialitate pe care sistemul european promitea să le protejeze.
.jpg "\"Jocul Luminii\", drama lui Ovidiu Georgescu cu Nicu Mihoc și Marius Turdeanu, din 6 mai în cinematografe")
