PR katastrofa pro Brusel. Leyenová představila „hotovou“ aplikaci k ověřování lidí, hackeři ji prolomili za dvě minuty

Nově představená mobilní aplikace Evropské unie pro ověřování věku se krátce po svém uvedení dostala pod ostrou kritiku odborníků na kyberbezpečnost. Ti upozorňují na závažné nedostatky v ochraně dat i samotném fungování nástroje, který má pomoci omezit přístup nezletilých mimo jiné k sociálním sítím, píše server Politico. Šéfka Evropské komise Ursula von der Leyenová ji přitom představila jako „technicky hotovou“. Aplikace už předtím vzbudila kritiku organizací věnujících se ochraně soukromí. Kritici varují, že opatření může ohrozit soukromí i svobodu projevu. Podobný boj se dlouhé roky vedl o nařízení nazývané Chat Control, které bylo postavené na podobném argumentu ochrany dětí.

Předsedkyně Evropské komise Ursula von der Leyenová při středečním představení v Bruselu uvedla, že aplikace je „technicky připravená“ a brzy bude dostupná veřejnosti. Zdůraznila také její otevřenost: „Je plně open source. Každý si může kód zkontrolovat.“

Nový systém by mohl znamenat, že všichni uživatelé v EU — včetně turistů — budou muset pro přístup k některým online službám prokázat svůj věk. Komise přitom tvrdí, že její řešení respektuje soukromí a využívá technologii, která umožňuje sdílet pouze informaci o splnění věkové podmínky bez odhalení identity. To však už dříve kritizovaly i organizace věnující se ochraně soukromí, které vyjadřují značné znepokojení.

Právě otevřenost kódu však vedla podle Politico k okamžité reakci expertů. Ti začali aplikaci analyzovat prostřednictvím platformy GitHub a rychle identifikovali řadu slabin. Bezpečnostní konzultant Paul Moore upozornil, že aplikace ukládá citlivá data přímo v zařízení uživatele bez adekvátní ochrany. Podle jeho slov se mu podařilo systém prolomit „za méně než dvě minuty“. Na podobné problémy poukázal i francouzský etický hacker Baptiste Robert. Ten uvedl, že aplikace umožňuje obejít biometrické zabezpečení, což by potenciálně umožnilo přístup bez použití PIN kódu či otisku prstu.

Celá situace se podle Politico mění v PR katastrofu pro Brusel. Evropská komise v pátek trvala na svém, že aplikace je technicky připravená. „Ano, je připravená. Možná můžeme dodat: a vždy ji lze zlepšit,“ uvedla hlavní mluvčí Paula Pinhoová. Evropská komise se proti kritice ohradila s tím, že analyzovaná verze aplikace nebyla finální. Ve vyjádření pro server Politico uvedla, že hackeři testovali starší „demo verzi“, která byla určena pouze pro účely vývoje a testování, přičemž zmiňovaná zranitelnost již byla podle Komise opravena. Odborníci Paul Moore a Olivier Blazy však toto tvrzení zpochybnili, podle nich testy prováděli na nejnovější verzi dostupné online.

Samotná aplikace nebude pro platformy povinná, ale Komise ji označuje za preferované řešení. Firmy, které zvolí jiný přístup, budou muset prokázat, že je stejně účinný.