Η Ευρωπαϊκή Επιτροπή θέλει να φέρει επανάσταση στην προστασία των νέων στο διαδίκτυο μέσω μιας εφαρμογής. Ωστόσο, όλοι γνωρίζουμε πως ότι κλειδώνει, ξεκλειδώνει, ειδικά στο διαδίκτυο..
Η εφαρμογή της ΕΕ που επαληθεύει την ηλικία χωρίς να θυσιάζει την ιδιωτικότητα παρουσιάστηκε σαν ένα τεχνολογικό ορόσημο για την προστασία των νέων. Ωστόσο, λίγες ώρες μετά την παρουσίασή της από την Πρόεδρο της Επιτροπής Ursula von der Leyen, το “ορόσημο” ξεφούσκωσε. Ο ειδικός ασφαλείας Paul Moore επέδειξε στο X πώς “έσπασε” το σύστημα σε λιγότερο από δύο λεπτά.
Η ανάλυσή του αποκαλύπτει ότι τα ευαίσθητα δεδομένα παραμένουν απροστάτευτα στη συσκευή. Οι κωδικοί PIN δεν είναι ασφαλείς, τα rate limits μπορούν να παρακαμφθούν με την επαναφορά απλών αρχείων ρυθμίσεων και η βιομετρική επαλήθευση μπορεί να απενεργοποιηθεί με ένα κλικ. Ο Moore προειδοποιεί: “Αυτό το προϊόν θα είναι ο καταλύτης για μια τεράστια διαρροή δεδομένων”.
Ο Γάλλος hacker Baptiste Robert επιβεβαίωσε τα ευρήματα του Moore, προσθέτοντας ότι είναι δυνατό να παρακαμφθεί εντελώς ο κωδικός PIN ή το Touch ID.
Ο κρυπτολόγος Olivier Blazy ανέφερε ένα πρακτικό πρόβλημα: “Ας υποθέσουμε ότι κατεβάζω την εφαρμογή και αποδεικνύω ότι είμαι άνω των 18 ετών. Στη συνέχεια, ο ανιψιός μου μπορεί να πάρει το τηλέφωνό μου, να ξεκλειδώσει την εφαρμογή και να την χρησιμοποιήσει για να επιβεβαιώσει την ηλικία του”.
Η Επιτροπή φυσικά υπερασπίζεται το εργαλείο της. Ένας εκπρόσωπος παραδέχτηκε απλά ότι τα πράγματα θα μπορούσαν να βελτιωθούν. Οι Βρυξέλλες δήλωσαν επίσης ότι οι hackers δοκίμασαν μια παλιά έκδοση κάτι που οι hackers αρνήθηκαν. Αργότερα, οι Βρυξέλλες δήλωσαν ότι η “τελική έκδοση” που ήταν διαθέσιμη στο διαδίκτυο ήταν μια εφαρμογή επίδειξης. Το τελικό προϊόν για τους πολίτες θα κυκλοφορήσει αργότερα και ο κώδικας θα ενημερώνεται συνεχώς.
Ανοιχτός Κώδικας
Το γεγονός ότι αυτά τα κενά ασφαλείας εντοπίστηκαν τόσο γρήγορα οφείλεται στο ότι η εφαρμογή είναι ανοιχτού κώδικα. Ο Blazy επαινεί αυτήν την προσέγγιση. Ωστόσο, επικρίνει το γεγονός ότι ο πηγαίος κώδικας δεν πληροί ακόμη τα αναμενόμενα πρότυπα ασφαλείας. Μια βιαστική κυκλοφορία θα μπορούσε να υπονομεύσει την εμπιστοσύνη σε μελλοντικά projects όπως η ψηφιακή ταυτότητα EUDI.
Επιπλέον, η ανωνυμία που υποσχέθηκε η Πρόεδρος της Επιτροπής φαίνεται αμφισβητήσιμη. Ειδικοί όπως η Anja Lehmann από το Ινστιτούτο Hasso Plattner διαφωνούν.
Ένα διαφημιστικό βίντεο προκαλεί εκνευρισμό: δείχνει μια βιομετρική σύγκριση μεταξύ μιας σάρωσης προσώπου και ενός εγγράφου ταυτοποίησης – μια διαδικασία που η von der Leyen απέρριπτε πάντα για τους διαχειριστές πλατφορμών.
Η Judith Simon από το Πανεπιστήμιο του Αμβούργου προειδοποιεί ότι η μη συνδεσιμότητα είναι η προϋπόθεση για πραγματική ιδιωτικότητα.
Πολλοί ειδικοί όμως αναρωτιούνται γιατί η ΕΕ κατασκευάζει μια παράλληλη υποδομή με την EUDI. Η Lehmann θεωρεί ότι μια ξεχωριστή εφαρμογή είναι “ελάχιστα χρήσιμη”, καθώς αποκλίνει από τα καθιερωμένα πρότυπα σε σημαντικά κριτήρια ασφαλείας. Ο Thomas Lohninger από την ΜΚΟ Epicenter.works προτείνει στην Επιτροπή να επανεξετάσει την πρωτοβουλία της και να επικεντρωθεί στην καθυστερημένη εφαρμογή των υφιστάμενων διαδικτυακών νόμων.
Τέλος, το πρόβλημα της αποτελεσματικότητας παραμένει.
Ο Tibor Jager από το Πανεπιστήμιο του Wuppertal περιγράφει την επαλήθευση ηλικίας σαν “ασήμαντη”. Χρησιμοποιώντας υπηρεσίες VPN, είναι δυνατό να προσομοιωθεί μια τοποθεσία εκτός της ΕΕ όπου οι κανόνες δεν ισχύουν. Ο ερευνητής υποστηρίζει ότι η “ψηφιακή εκπαίδευση” θα λύσει το πρόβλημα, αντί για τα τεχνικά εμπόδια.
Η Επιτροπή, ωστόσο, εμμένει στο χρονοδιάγραμμα. Οκτώ αρχηγοί κρατών υποστηρίζουν την πρωτοβουλία για τον περιορισμό των μέσων κοινωνικής δικτύωσης σε ανηλίκους. Βέβαια η εφαρμογή δεν χρησιμοποιείται ακόμη, και υπάρχει χρόνος για διορθώσεις.
Όμως ο δρόμος προς το “πρότυπο της ιδιωτικότητας” είναι ακόμη μακρύς.
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
