Η παρουσίαση από την Ευρωπαϊκή Επιτροπή μιας νέας εφαρμογής για την επαλήθευση ηλικίας στο διαδίκτυο προκάλεσε άμεσες αντιδράσεις, καθώς ειδικοί στην κυβερνοασφάλεια εντόπισαν σοβαρά προβλήματα στον σχεδιασμό της.
Η εφαρμογή παρουσιάστηκε στις Βρυξέλλες από την πρόεδρο της Επιτροπής, Ούρσουλα φον ντερ Λάιεν, η οποία δήλωσε ότι είναι «τεχνικά έτοιμη» και σύντομα θα τεθεί σε χρήση, στο πλαίσιο των προσπαθειών περιορισμού της πρόσβασης ανηλίκων σε μέσα κοινωνικής δικτύωσης.
Ωστόσο, λίγες ώρες μετά τη δημοσιοποίηση του κώδικα της εφαρμογής, ειδικοί άρχισαν να εντοπίζουν σημαντικά κενά ασφαλείας. Ο σύμβουλος κυβερνοασφάλειας Πολ Μουρ δήλωσε στο Politico ότι η εφαρμογή αποθηκεύει ευαίσθητα δεδομένα στη συσκευή του χρήστη χωρίς επαρκή προστασία, υποστηρίζοντας ότι κατάφερε να την παραβιάσει μέσα σε λιγότερο από δύο λεπτά.
Αντίστοιχα, ο Γάλλος ερευνητής ασφάλειας Μπατίστ Ρομπέρ επιβεβαίωσε τα ευρήματα, σημειώνοντας ότι είναι δυνατό να παρακαμφθούν τα βιομετρικά μέτρα ασφαλείας της εφαρμογής. Όπως εξήγησε, ένας χρήστης θα μπορούσε να αποδείξει ότι είναι άνω των 18 ετών και στη συνέχεια να επιτρέψει σε τρίτο πρόσωπο να χρησιμοποιήσει την ίδια συσκευή για να αποκτήσει πρόσβαση.
Στο ίδιο πνεύμα, ο κρυπτογράφος Ολιβιέ Μπλαζί, μέλος γαλλικής ομάδας εργασίας για την ψηφιακή ταυτότητα, δήλωσε ότι «αν εγώ αποδείξω ότι είμαι άνω των 18, κάποιος άλλος μπορεί να χρησιμοποιήσει τη συσκευή μου και να εμφανιστεί επίσης ως ενήλικος».
Η εφαρμογή είναι έτοιμη προς χρήση, σύμφωνα με την ΕΕ
Παρά τις επικρίσεις, η Ευρωπαϊκή Επιτροπή επέμεινε ότι η εφαρμογή είναι έτοιμη προς χρήση. Η επικεφαλής εκπρόσωπος, Πάουλα Πίνιο, δήλωσε ότι «είναι έτοιμη», προσθέτοντας ότι «μπορεί πάντα να βελτιωθεί». Παράλληλα, ο εκπρόσωπος για θέματα ψηφιακής πολιτικής, Τόμας Ρενιέ, διευκρίνισε ότι πρόκειται ακόμη για δοκιμαστική έκδοση και ότι ο κώδικας θα συνεχίσει να αναβαθμίζεται.
Η Επιτροπή υποστήριξε επίσης ότι οι αδυναμίες που εντοπίστηκαν αφορούσαν παλαιότερη έκδοση της εφαρμογής, η οποία είχε διατεθεί για δοκιμές. Ωστόσο, οι ειδικοί που ανέλυσαν το σύστημα επιμένουν ότι τα προβλήματα εντοπίζονται και στην πιο πρόσφατη εκδοχή που είναι διαθέσιμη δημόσια.
Οι ειδικοί εκτιμούν ότι η επιλογή της Επιτροπής να δημοσιοποιήσει τον κώδικα της εφαρμογής ήταν θετική, καθώς επιτρέπει τον έλεγχο από την κοινότητα. Ωστόσο, επισημαίνουν ότι το επίπεδο ασφάλειας δεν ανταποκρίνεται στη σημασία ενός τέτοιου εργαλείου.
Ο Ολιβιέ Μπλαζί σημείωσε ότι «ο κώδικας που δόθηκε στη δημοσιότητα δεν πληροί τα πρότυπα κυβερνοασφάλειας που θα αναμέναμε για μια τόσο κρίσιμη εφαρμογή», εκφράζοντας παράλληλα ανησυχία ότι η Επιτροπή προχωρά σε βιαστική υλοποίηση. Όπως προειδοποίησε, μια τέτοια προσέγγιση ενδέχεται να υπονομεύσει την εμπιστοσύνη σε μελλοντικά εργαλεία ψηφιακής ταυτότητας.
Στο ίδιο μήκος κύματος, ο Βέλγος ειδικός σε θέματα ασφάλειας Ίντι Ντε Σεουκελαίρ υπογράμμισε ότι, σε έργα ανοικτού κώδικα, θα ήταν χρήσιμο να δημοσιεύονται και ανεξάρτητες αξιολογήσεις ασφάλειας πριν από την έναρξη λειτουργίας, ώστε να είναι δυνατή μια πιο ολοκληρωμένη αποτίμηση των κινδύνων.
Η εφαρμογή της ΕΕ, για την οποία προκηρύχθηκε διαγωνισμός ύψους 4 εκατ. ευρώ το 2024, αναπτύσσεται από τη σουηδική εταιρεία ψηφιακής ταυτότητας Scytáles σε συνεργασία με τη Deutsche Telekom.
Η λειτουργία της βασίζεται στην επαλήθευση ηλικίας μέσω επίσημων εγγράφων, όπως διαβατήριο ή ταυτότητα, ή μέσω αξιόπιστων παρόχων, όπως τράπεζες. Οι διαδικτυακές πλατφόρμες θα μπορούν να επιβεβαιώνουν μόνο αν ένας χρήστης πληροί το ηλικιακό όριο, χωρίς να έχουν πρόσβαση σε περαιτέρω προσωπικά δεδομένα.
Ωστόσο, επικριτές υποστηρίζουν ότι η τεχνολογία δεν είναι ακόμη ώριμη ώστε να διασφαλίζει ταυτόχρονα προστασία δεδομένων και αποτελεσματικό έλεγχο ηλικίας. Επισημαίνουν επίσης ότι οι χρήστες μπορούν να παρακάμπτουν τέτοιους περιορισμούς με εργαλεία όπως τα VPN, που αποκρύπτουν την τοποθεσία τους.
Παράλληλα, περισσότερα από 400 στελέχη από τον χώρο της κυβερνοασφάλειας και της προστασίας δεδομένων έχουν ζητήσει την αναστολή της εφαρμογής τέτοιων τεχνολογιών, μέχρι να υπάρξει σαφής επιστημονική συναίνεση για τα οφέλη και τους κινδύνους τους.
Η ευρωβουλευτής των Τσέχων Πειρατών, Μαρκέτα Γκρέγκοροβα, εκτίμησε ότι η διαδικασία προχωρά υπό πολιτική πίεση, ζητώντας πιο ενδελεχή αξιολόγηση των μέτρων ασφάλειας και προστασίας προσωπικών δεδομένων.
Από την πλευρά της, η Γερμανίδα ευρωβουλευτής Μπίργκιτ Σίπελ χαρακτήρισε την εφαρμογή «ημιτελή», υποστηρίζοντας ότι δεν ανταποκρίνεται στα ίδια τα πρότυπα της Ευρωπαϊκής Ένωσης.
Ακόμη πιο αιχμηρός ήταν ο Πολωνός ευρωβουλευτής Πιότρ Μίλερ, ο οποίος προειδοποίησε ότι τέτοιες πρωτοβουλίες μπορεί να οδηγήσουν σε αυξημένο έλεγχο της πρόσβασης στο διαδίκτυο και δήλωσε ότι η Ευρώπη κινδυνεύει να οδηγηθεί σε ένα «διαδίκτυο τύπου Κίνας».
Με πληροφορίες από Politico
