Спустя сутки после того, как власти Европейского Союза представили новое приложение для, по их заверениям, безопасной верификации возраста пользователей социальных сетей, специалист по кибербезопасности сумел взломать его всего за две минуты. Павел Дуров полагает, что это продуманная уловка, в рамках которой исправление уязвимости повлечет за собой ликвидацию конфиденциальности, создавая условия для тотальной слежки за гражданами.
Разработка в Евросоюзе (ЕС) программы для установления возраста пользователей соцсетей и ее компрометация, занявшая лишь 120 секунд, являются элементом «стратегии» Еврокомиссии (ЕК), итогом которой станет наблюдение за европейцами, считает создатель Telegram Павел Дуров. Эту точку зрения он изложил в своем канале.
«Европейским бюрократам требовался предлог, чтобы незаметно трансформировать свою "заботящуюся о приватности" программу проверки возраста в инструмент слежки за всеми жителями Европы, активно пользующимися соцсетями. Вчерашняя "непредвиденная атака" как раз и дала им такой предлог», — отмечает Дуров.
О взломе нового софта «за 120 секунд» экспертом по безопасности Полом Муром (Paul Moore) сообщило издание Cybernews. Ссылку на эту статью Дуров прикрепил к своей публикации.
Дуров предполагает, что инцидент мог быть не случайным, а намеренно спланированным, чтобы под предлогом исправления ошибки «уничтожить приватность» приложения.
Мур выявил, что программа хранит зашифрованный PIN-код локально, причем шифрование не привязано к хранилищу идентификационных данных пользователей. Это, как он утверждает, предоставляет злоумышленнику простой способ: установить новый PIN-код и сохранить доступ к учетным данным, созданным в предыдущем профиле, достаточно лишь удалить определенные параметры, связанные с PIN-кодом, из конфигурационных файлов программы и перезапустить ее.
«Фактически, приложение принимает повторно используемые идентификационные данные в рамках заново заданного контроля доступа», — разъяснил Мур.
Еще одна уязвимость — ограничение скорости, обычно применяемое для блокировки многократных попыток ввода PIN-кода, сохраняется в виде простого счетчика в том же редактируемом конфигурационном файле. Если обнулить его, система забудет, сколько попыток уже было предпринято.
Облегчает взлом и управление биометрической аутентификацией с помощью одного логического флага. Если изменить его значение с true на false, приложение полностью пропускает биометрические проверки.
О готовности к эксплуатации и «соответствии наивысшим мировым стандартам защиты приватности» нового инструмента для проверки возраста, предназначенного для ограждения детей от вредоносного интернет-контента, 15 апреля объявила глава Еврокомиссии Урсула фон дер Ляйен (Ursula von der Leyen), о чем сообщал «Интерфакс». Европейский союз намерен внедрить обязательную идентификацию личности для каждого пользователя социальных платформ, а также ввести ограничения доступа для лиц младше 18 лет.
«Вы загружаете приложение, настраиваете его, используя свой паспорт или удостоверение личности. После этого вы проходите подтверждение возраста при входе в онлайн-сервисы», — разъяснила глава Еврокомиссии.
Касательно вопросов приватности чиновница отметила: «Пользователи будут удостоверять свой возраст, не передавая никакой иной личной информации. Говоря кратко, это абсолютно анонимно: отследить пользователей невозможно».
Издание Cybernews приводит точку зрения ряда разработчиков, которым логика работы приложения показалась необычной, в частности наличие срока действия у данных, подтверждающих возраст. «Зачем у документа, удостоверяющего возраст, установлен срок действия? Как только мне исполняется 18, я всегда остаюсь старше 18. Я же не становлюсь моложе!», — высказался один из них.
