Поделиться
Приложение ЕС для слежки за гражданами можно взломать «за две минуты»
Через день после презентации властями ЕС нового приложения для безопасной, по словам чиновников, проверки возраста пользователей соцсетей, оно за две минуты было взломано исследователем кибербезопасности. Павел Дуров считает, что это хитрый план, согласно которому, устранение проблемы приведет к отключению конфиденциальности, позволяющему следить за гражданами.
«Тайный план» ЕК
Создание в Европейском Союзе (ЕС) приложения для проверки возраста пользователей соцсетей и его взлом, на который потребовалось всего две минуты, являются частью «плана» Еврокомиссии (ЕК), в результате которого за гражданами Европы будет организована слежка, полагает основатель Telegram Павел Дуров. Об этом он заявил в своем канале.
«Бюрократам ЕС нужен был повод, чтобы незаметно начать превращать свое “уважающее конфиденциальность” приложение для проверки возраста в механизм слежки за всеми европейцами, использующими социальные сети. Сегодняшний "неожиданный взлом" как раз предоставил им этот повод», - пишет Дуров.
О взломе нового приложения «за две минуты» исследователем в области безопасности Полом Муром (Paul Moore) написал Сybernews. Ссылку на публикацию Дуров приложил к своему сообщению.
Для взлома достаточно двух минут
Дуров считает, что взлом мог произойти не случайно, а специально, чтобы ради устранения проблемы «удалить конфиденциальность» приложения.
Мур обнаружил, что приложение хранит зашифрованный PIN-код локально, шифрование не привязано к хранилищу идентификационных данных пользователей. Это, по его словам, открывает простой путь для злоумышленника, который может установить новый PIN-код и сохранить доступ к учетным данным, созданным в предыдущем профиле, только удалив определенные значения, связанные с PIN-кодом, из конфигурационных файлов приложения и перезапустив его.
«По сути, приложение принимает повторно используемые идентификационные данные в рамках вновь определенного контроля доступа», — пояснил Мур.
Еще одна лазейка — ограничение скорости, обычно используемое для предотвращения повторных попыток ввода PIN-кода, хранится в виде простого счетчика в том же редактируемом конфигурационном файле. Если сбросить его до нуля, система забудет, сколько попыток уже было совершено.
Упрощает взлом и управление аутентификацией по биометрии одним логическим флагом. Если изменить его значение с true на false, приложение приложение просто полностью пропускает биометрические проверки.
Приложение для защиты детей
О готовности к использованию и «соответствии самым высоким мировым стандартам конфиденциальности» нового приложения для проверки возраста, призванного защитить детей от вредного онлайн-воздействия, 15 апреля заявила председатель ЕК Урсула фон дер Ляйен (Ursula von der Leyen), как писал «Интерфакс». Европейский союз собирается ввести обязательную верификации личности для всех пользователей социальных сетей и ограничения доступа для тех, кто не достиг 18 лет.
«Вы скачиваете приложение, настраиваете его с помощью своего паспорта или удостоверения личности. Затем вы подтверждаете свой возраст при доступе к онлайн-сервисам», — объяснила председатель ЕК.
По поводу конфиденциальности чиновница заявила следующее: «Пользователи будут подтверждать свой возраст, не раскрывая никакой другой личной информации. Проще говоря, это полностью анонимно: пользователей невозможно отследить».
Сybernews приводит мнение некоторых разработчиков, которым показалась странной логика приложения, например, наличие сроков действия у данных, подтверждающих возраст. «Почему у документа, подтверждающего возраст, есть срок действия? Как только мне исполнится 18, мне всегда будет больше 18. Я не стану моложе!», — сказал один из них.
Короткая ссылка
