Aplicația europeană de verificare a vârstei: Mai multe întrebări decât răspunsuri
Este aplicația europeană o soluție sigură pentru protejarea minorilor?
Când Ursula von der Leyen a anunțat lansarea aplicației europene de verificare a vârstei, a promis o soluție transparentă, sigură și eficientă pentru protejarea minorilor online. Însă, la doar câteva ore de la prezentare, experții în securitate au identificat vulnerabilități serioase, punând sub semnul întrebării nu doar funcționalitatea aplicației, ci și însăși ideea că un astfel de instrument poate rezolva o problemă atât de complexă.
Știri de ultimă oră:
La scurt timp după lansare, specialiștii au început să semnaleze probleme grave: date sensibile stocate nesecurizat, autentificare biometrică ușor de eludat și scenarii simple în care un copil ar putea folosi dispozitivul unui adult pentru a păcăli sistemul.
Cu alte cuvinte, aplicația menită să controleze accesul la internet nu reușește să-și securizeze propriul acces.
Cu toate acestea, a ne limita doar la aceste erori ar însemna să ratăm miza reală.
Problema nu constă neapărat într-o aplicație prost concepută, ci mai degrabă într-o tensiune fundamentală pe care Uniunea Europeană nu a reușit încă să o rezolve: cum să protejezi copiii online fără a transforma internetul într-un spațiu de identificare permanentă.
„Suntem profund îngrijorați de intenția Comisiei de a lega identitatea digitală de implementarea tehnică a verificării vârstei”, a declarat Thomas Lohninger, director executiv al ONG-ului austriac pentru drepturi digitale epicenter. works, pentru POLITICO.
Potrivit lui Lohninger, codul sursă este „departe de a fi pregătit pentru producție”, iar Executivul european ar trebui „să-și reevalueze planurile privind verificarea vârstei și să se concentreze pe aplicarea, întârziată, a legislației UE privind conținutul online”.
Este aplicația de verificare a vârstei o soluție sigură pentru minorii online?
Pentru a înțelege amploarea problemei, trebuie să analizăm modul concret în care ar urma să funcționeze o astfel de aplicație. În varianta propusă de Comisia Europeană, ideea de bază este relativ simplă: utilizatorul nu mai dovedește direct fiecărui site web cine este, ci folosește o aplicație intermediară care confirmă doar că a atins o anumită vârstă.
În teorie, acest lucru ar trebui să limiteze cantitatea de date personale care circulă online. În practică, însă, lucrurile se complică rapid. Pentru a obține acel simplu „are peste 18 ani”, utilizatorul trebuie să se autentifice în aplicație cu un document oficial (carte de identitate sau pașaport).
Aplicația procesează aceste date și generează o dovadă digitală, pe care o poate prezenta ulterior platformelor. Vulnerabilitățile descoperite demonstrează, însă, fragilitatea acestui mecanism.
Consultantul de securitate Paul Moore a demonstrat că PIN-ul aplicației era stocat într-un simplu fișier XML editabil, numărul de încercări greșite putea fi resetat manual, iar autentificarea biometrică putea fi dezactivată prin schimbarea unei singure valori din „true” în „false”. Practic, protecțiile de bază puteau fi ocolite în câteva minute. Dincolo de aceste erori, apar și limite structurale ale sistemului.
Cercetătorul în criptografie Olivier Blazy a descris un scenariu simplu: un adult își verifică vârsta o singură dată, iar apoi un minor îi folosește telefonul pentru a trece de verificare – exact opusul a ceea ce aplicația promite să prevină.
Pentru a evita astfel de situații, ar fi necesară o autentificare constantă, ceea ce ar însemna și mai mult control.
Proiectul a costat aproximativ patru milioane de euro și a fost dezvoltat de companii precum Scytales și Deutsche Telekom.
În martie, peste 400 de cercetători în securitate și confidențialitate au cerut un moratoriu până la realizarea unui audit independent, dar solicitarea a rămas fără Dincolo de aceste vulnerabilități punctuale, apare o problemă mai amplă: cu cât astfel de sisteme colectează mai multe date sensibile, cu atât devin mai atractive pentru atacatori.
Va proteja aplicația minorii online?
O infrastructură care combină identitate oficială, biometrie și acces la platforme online devine, evident, o țintă valoroasă pentru fraude, phishing sau furt de identitate.
În plus, pentru utilizatorul obișnuit, aceasta înseamnă o obligație suplimentară: trebuie să furnizeze date personale sensibile doar pentru a accesa servicii care până acum funcționau fără astfel de verificări. De altfel, întreaga abordare a verificării vârstei online pare să presupună că probleme sociale complexe pot fi rezolvate prin instrumente tehnice.
Limitarea accesului pe bază de vârstă abordează doar simptomele problemei (cine intră și cine nu), dar nu atinge cauzele reale: algoritmi care amplifică conținutul dăunător, modele de business bazate pe captarea atenției și pe stocarea unor cantități imense de date personale.
Experiențele din alte țări ridică și ele semne de întrebare.
Acolo unde au fost introduse restricții similare, mulți minori au găsit rapid metode de a le ocoli, folosind conturi ale adulților, VPN-uri sau erori ale sistemelor de estimare a vârstei.
În același timp, nu există dovezi clare că aceste măsuri reduc semnificativ riscurile precum bullying-ul sau abuzul online.
Există, în schimb, riscul ca utilizatorii să fie nevoiți să-și sacrifice confidențialitatea pentru a accesa internetul.
Alte știri: