Разработанное Еврокомиссией приложение для проверки возраста пользователей интернета в конечном счете будет превращено в инструмент слежки за гражданами, заявил основатель Telegram Павел Дуров. Он обратил внимание на заявления экспертов, согласно которым программу можно взломать за две минуты. Об этом в числе прочих предупредил консультант по вопросам безопасности Пол Мур. По мнению Дурова, в приложении были умышленно оставлены лазейки для взлома, в частности, оно доверяет устройству, на которое установлено.
«Если только ЕС не управляют клоуны, то это их реальный план: шаг 1 — представить "уважающее конфиденциальность", но взламываемое приложение; шаг 2 — быть взломанным (ВЫ ЗДЕСЬ); шаг 3 — убрать конфиденциальность, чтобы "исправить" приложение. Результат — инструмент слежки, продаваемый как "уважающий конфиденциальность"», — написал Дуров в телеграм-канале. Он добавил, что бюрократам в ЕС нужен был предлог, чтобы незаметно начать превращать свое приложение в «механизм слежки» и «неожиданный взлом» дал им такой предлог.
Как отметил Мур, ссылку на выводы которого оставил Дуров, приложение Еврокомиссии хранит ПИН-код на устройстве в зашифрованном виде, но более важно то, что шифрование не привязано к хранилищу идентификационных данных пользователя, где содержатся конфиденциальные сведения для проверки на серверах. При этом ПИН-код либо проверяется сервером, либо используется как часть ключа для расшифровки данных. Это открывает возможность для простого обхода защиты: удалив определенные значения, связанные с ПИН-кодом, из конфигурационных файлов приложения и перезапустив его, злоумышленник может установить новый ПИН-код, сохранив при этом доступ к учетным данным, созданным в предыдущем профиле, отметил Мур.
Эксперт указал и на другие уязвимости, которые еще больше упрощают попытки взлома или обхода защиты. В частности, ограничение скорости, обычно используемое для предотвращения повторных попыток ввода ПИН-кода, прописано в виде простого счетчика в том же редактируемом конфигурационном файле. Если сбросить его до нуля, система «забудет», сколько попыток входа уже было совершено. Также аутентификация по биометрии управляется одним флагом: изменив его значения с true на false, приложение можно заставить полностью пропускать биометрические проверки.
Еврокомиссия объявила о завершении разработки специального приложения для проверки возраста на онлайн-платформах 15 апреля. В скором времени оно будет выпущено для европейских пользователей. Чтобы пройти верификацию, потребуется загрузить удостоверение личности. При этом в Еврокомиссии подчеркивали, что приложение обеспечивает «самые высокие стандарты конфиденциальности». Дуров давно критикует власти ЕС за регулирование цифровой сферы. Он считает, что в ЕС создается «цифровой ГУЛАГ», а Брюссель пытается усилить цензуру в интернете.
