Predsednica evropske komisije Ursula von der Leyen je v sredo v Bruslju predstavila mobilno aplikacijo, namenjeno preverjanju starosti uporabnikov na spletu. Orodje naj bi državam članicam pomagalo pri uveljavljanju prepovedi uporabe družbenih omrežij za otroke. »Je popolnoma odprtokodna, vsak jo lahko preveri,« je poudarila predsednica.
Vendar se je projekt hitro sprevrgel v katastrofo. Kot poroča Politico, so strokovnjaki za zasebnost, ki so se takoj poglobili v izvorno kodo na platformi GitHub, poročali o številnih pomanjkljivostih v zasnovi in varnosti.
V manj kot dveh minutah
Varnostni svetovalec Paul Moore je le nekaj ur po izidu ugotovil, da aplikacija občutljive podatke na uporabnikovem telefonu shranjuje nezaščitene. Na omrežju X je objavil, da mu je v aplikacijo uspelo vdreti v manj kot dveh minutah.
Njegove ugotovitve je potrdil tudi ugledni francoski etični heker Baptiste Robert, ki je za Politico pojasnil, da je mogoče obiti biometrično avtentikacijo. To pomeni, da bi uporabnik lahko dostopal do aplikacije brez vnosa kode PIN ali uporabe prstnega odtisa.
Olivier Blazy, raziskovalec kriptografije, je izpostavil še eno praktično pomanjkljivost: »Recimo, da prenesem aplikacijo in dokažem, da sem starejši od 18 let. Moj nečak lahko nato vzame moj telefon, odklene aplikacijo in jo uporabi, da sam 'dokaže' polnoletnost.«
Aplikacija se še izpopolnjuje
Evropska komisija kljub kritikam vztraja pri svojem. Tiskovna predstavnica Paula Pinho je za Politico dejala: »Da, pripravljena je. Res pa je, da se jo da izboljšati.« Predstavnik komisije, Thomas Regnier, pa je nekoliko omilil izjavo in dodal, da gre za »demo različico«, ki se bo nenehno posodabljala.
Komisija je za Politico še sporočila, da so hekerji preizkušali starejšo različico in da je bila varnostna luknja že odpravljena. Strokovnjaki Moore, Blazy in drugi pa trdijo nasprotno – preizkušali naj bi najnovejšo kodo, ki je dostopna na spletu.
Politični pritiski
Zaplet razkriva globok razkol med politiki, ki želijo zaščititi otroke pred družbenimi omrežji in pornografijo, ter zagovorniki zasebnosti, ki opozarjajo na nevarnosti digitalnega nadzora.
Aplikacijo, za katero je komisija leta 2024 objavila štiri milijone evrov vreden razpis, sta razvila nemški Deutsche Telekom in švedsko podjetje Scytales. Uporabnikom naj bi omogočala potrditev starosti prek potnega lista ali banke, pri čemer spletne platforme ne bi dobile dostopa do osebnih podatkov, temveč le potrdilo o starosti. Vendar strokovnjaki opozarjajo, da bo takšen hitri zagon le spodkopal zaupanje v prihodnje digitalne identitete, če tehnologija ni varna.