Predsedníčka Európskej komisie Ursula von der Leyenová predstavila minulý týždeň v Bruseli nástroj na overovanie veku (EU Age) s tým, že je „technicky pripravený“ a čoskoro bude k dispozícii na používanie. Má ísť o ťažiskový prvok plánovanej európskej digitálnej identity.
Táto aplikácia, ktorá má byť kompatibilná s mobilnými zariadeniami aj počítačmi, bude od používateľov vyžadovať nahranie pasu alebo občianskeho preukazu na anonymné potvrdenie veku, povedala podľa agentúry Reuters šéfka Komisie.
Von der Leyenová prezentovala aplikáciu, ktorá vznikla najmä preto, že sa v súčasnosti mnohé krajiny snažia zakázať deťom do určitého veku prístup na sociálne siete, ako plne anonymnú a mimoriadne bezpečnú. Používateľom má umožniť preukázať svoj vek na platformách, ako sú TikTok alebo Instagram, a to bez zverejnenia citlivých údajov. „Je to plne otvorený zdrojový kód. Každý si ho môže skontrolovať,“ zdôraznila von der Leyenová.
Hekeri sa na to pozreli
Ako uviedlo Politico, odborníci na kybernetickú bezpečnosť a ochranu súkromia sa po jej vyhlásení okamžite „ponorili“ do zdrojového kódu na softvérovej platforme GitHub a nahlásili niekoľko problémov s dizajnom aplikácie. Takže to, čo pôvodne vyzeralo ako výrazný technologický úspech Únie, sa napokon môže ukázať ako jej politická hanba.
Výskumníci v oblasti IT bezpečnosti zdokumentovali okrem iného aj to, ako sa dajú základné bezpečnostné opatrenia obísť s minimálnym úsilím. V niekoľkých prípadoch stačilo zmeniť jednoduché textové súbory, aby sa získal prístup k uloženým údajom o totožnosti. Navyše vysoko dôverné údaje, ako sú napríklad doklady totožnosti, nie sú v zariadeniach používateľov dostatočne chránené.
Bezpečnostný konzultant Paul Moore v rámci rozsiahleho príspevku na platforme X napísal, že v priebehu niekoľkých hodín od vydania zistil, že aplikácia EÚ ukladá citlivé údaje do telefónu používateľa a necháva ich nechránené. Moore tvrdil, že aplikáciu hekol za menej ako dve minúty.
Známy francúzsky etický heker Baptiste Robert potvrdil mnohé z problémov a pre Politico povedal, že je možné obísť biometrické autentifikačné funkcie aplikácie, čo znamená, že niekto by sa mohol pri prístupe k aplikácii vyhnúť zadaniu PIN kódu alebo použitiu Touch ID.
„Povedzme, že som si stiahol aplikáciu, dokázal, že mám viac ako 18 rokov, a potom si môj synovec môže vziať môj telefón, odomknúť moju aplikáciu a použiť ju na dokázanie, že má viac ako 18 rokov,“ vyjadril sa zasa francúzsky kryptografický výskumník Olivier Blazy.
Je to len demo verzia, zaznieva z EÚ
„Keď hovoríme, že ide o finálnu verziu, je to (...) stále demo verzia,“ bránil sa hovorca Komisie pre digitálnu ekonomiku a digitálnu politiku Thomas Regnier. Dodal, že finálny produkt ešte nie je dostupný pre občanov a kód sa ešte bude aktualizovať a vylepšovať. Podľa jeho slov nemožno vylúčiť ani predvídať, či budú potrebné ďalšie aktualizácie alebo nie.
Aj samotná Európska komisia vo vyhlásení pre Politico konštatovala, že hekeri skúmali predchádzajúcu „demo verziu“ aplikácie, ktorá mala slúžiť na „testovacie a vývojové účely“. Jej zraniteľnosť preto bola podľa tohto orgánu opravená.
Moore aj Blazy však uviedli, že testy najnovšej verzie kódu EÚ vykonávajú online.
„Je dobré, že aplikáciu sprístupnili ako otvorený zdrojový kód, aby si ju mohli vyskúšať a otestovať odborníci. Problém je v tom, že zverejnený zdrojový kód nespĺňa štandardy kybernetickej bezpečnosti, ktoré by sme od takej dôležitej aplikácie očakávali,“ povedal Blazy.
„Obávali sme sa, že Komisia spustí svoju aplikáciu unáhlené, bez ohľadu na jej bezpečnostné problémy, a teraz vidíme, že chce spustiť niečo, čo nie je technicky pripravené,“ dodal. Takéto unáhlené spustenie by podľa jeho slov mohlo podkopať dôveru v budúce peňaženky s digitálnou identitou.
Vekové limity pre sociálne médiá
Je známe, že najmenej tucet európskych krajín v súčasnosti prijal alebo zvažuje legislatívu stanovujúcu minimálne vekové hranice – zvyčajne medzi 13. a 16. rokom veku života – pre používanie sociálnych médií.
Henna Virkkunenová, šéfka digitálnych technológií EÚ, uviedla, že blok plánuje zaviesť európsky koordinačný mechanizmus s cieľom zabezpečiť, aby sa overovanie veku uskutočňovalo v rôznych národných systémoch. Komisia pritom vyvíja harmonizovaný systém digitálneho overovania EU Age už od minulého roka.
Kontrola prístupu detí k obmedzenému online obsahu predstavuje pre vlády technické výzvy. Austrália napríklad zaznamenala od zavedenia zákazu sociálnych médií obrovský nárast sťahovania virtuálnych súkromných sietí (VPN), pretože používatelia sa snažia toto opatrenie obísť a získať prístup k obmedzeným platformám.
Vysoký úradník Komisie tiež uznal, že systém EÚ na overovanie veku sa dá obísť pomocou VPN, ale uviedol, že cieľom iniciatívy nie je kontrolovať ľudí online.
Hoci zatiaľ neboli prijaté žiadne záväzné právne predpisy platné pre celú EÚ, Európsky parlament vlani v novembri schválil uznesenie, v ktorom požaduje minimálny vek 16 rokov pre prístup k sociálnym médiám vo všetkých členských štátoch.
Konečné rozhodnutie o potenciálnej legislatíve EÚ sa má prijať po tom, čo špeciálny panel pre bezpečnosť detí na internete predloží v lete tohto roku svoje odporúčania, uviedol vysoký predstaviteľ Komisie.
(reuters, politico, statement.com, im)