Εφαρμογή Ψηφιακής Επαλήθευσης Ηλικίας της ΕΕ: Ασφάλεια και Αδυναμίες
Η πρόσφατη εφαρμογή Digital Age Verification της Ευρωπαϊκής Επιτροπής, που παρουσιάστηκε στις 14 Απριλίου 2026, στοχεύει στην προστασία των ανηλίκων από επιβλαβές περιεχόμενο στο διαδίκτυο. Παράλληλα, έχει γίνει αντικείμενο κριτικής εξαιτίας αστοχιών στην κα security design που αποκάλυψαν ερευνητές, όπως ο Paul Moore από το Ηνωμένο Βασίλειο, ο οποίος κατάφερε να παρακάμψει τη διαδικασία ελέγχου ταυτότητας σε λιγότερο από δύο λεπτά.
Βασικά Στοιχεία Λειτουργίας της Εφαρμογής
Κατά την αρχική ρύθμιση της εφαρμογής, οι χρήστες καλούνται να δημιουργήσουν ένα PIN, το οποίο κρυπτογραφείται. Στη συνέχεια, το PIN αποθηκεύεται σε ένα τοπικό αρχείο διαμόρφωσης, γνωστό ως shared_prefs στη συσκευή του χρήστη. Ωστόσο, οι ερευνητές εντόπισαν σημαντικές αδυναμίες στην αρχιτεκτονική της εφαρμογής.
Κρίσιμες Ευπάθειες
- Απουσία Σύνδεσης με Θησαυροφυλάκιο Ταυτότητας: Το κρυπτογραφημένο PIN αποθηκεύεται τοπικά, χωρίς κρυπτογραφική σύνδεση με το θησαυροφυλάκιο ταυτότητας που περιέχει τα πραγματικά διαπιστευτήρια επαλήθευσης.
- Σημαντική Τρωτότητα Κρυπτογράφησης: Η κρυπτογράφηση που χρησιμοποιείται δεν παρέχει αξιόπιστη ασφάλεια, καθώς είναι δυνατόν να εξαχθεί ή να τροποποιηθεί με σχετική ευκολία.
Εκμετάλλευση Ευπαθειών
Ένας εισβολέας με φυσική πρόσβαση στη συσκευή μπορεί να εκμεταλλευτεί το κενό αυτό, απλά διαγράφοντας τις PinEnc και PinIV τιμές από το shared_prefs αρχείο. Με αυτόν τον τρόπο, μπορεί να επανεκκινήσει την εφαρμογή και να εισάγει ένα νέο PIN, αποκτώντας κατ’ αυτόν τον τρόπο πρόσβαση στα διαπιστευτήρια του αρχικού προφίλ επαληθευμένης ταυτότητας.
Άλλα Ζητήματα Ασφάλειας
Εκτός από την ευπάθεια με το PIN, οι ερευνητές εντόπισαν και άλλες δύο σημαντικές αδυναμίες:
- Παραβίαση Περιορισμού Ρυθμού: Η προστασία από brute-force επιθέσεις υλοποιείται μέσω μίας απλής μεθόδου αυξανόμενου μετρητή, ο οποίος αποθηκεύεται στο ίδιο
shared_prefsαρχείο. Αυτό επιτρέπει στους εισβολείς να μηδενίζουν τη συγκεκριμένη τιμή και να δοκιμάζουν απεριόριστους συνδυασμούς PIN. - Παραβίαση Βιομετρικού Ελέγχου Ταυτότητας: Μια boolean σημαία
UseBiometricAuthκαθορίζει εάν απαιτείται βιομετρική επαλήθευση. Όταν ρυθμίστηκε σεfalse, αποφεύγεται τελείως ο βιομετρικός έλεγχος, αφαιρώντας ένα σημαντικό επίπεδο ασφάλειας.
Αντίκτυπος στις Εθνικές Υποδομές
Ειδικοί στον τομέα της ασφάλειας θεωρούν ότι η εφαρμογή αυτής της μορφής, που χρησιμοποιείται ως πρωτότυπο για το ευρύτερο οικοσύστημα του Ευρωπαϊκού Πορτοφολιού Ψηφιακής Ταυτότητας, φέρει σοβαρές συνέπειες για εθνικές υποδομές. Εάν οι ελλείψεις αυτές δεν αντιμετωπιστούν άμεσα, μπορεί να οδηγήσουν σε μεγάλη παραβίαση δεδομένων.
Μάλιστα, ο Paul Moore απευθύνθηκε δημοσίως στην Πρόεδρο της Επιτροπής, Ούρσουλα φον ντερ Λάιεν, προειδοποιώντας ότι «αυτό το προϊόν θα είναι ο καταλύτης για μια τεράστια παραβίαση, είναι απλώς θέμα χρόνου». Ήδη, έξι χώρες της ΕΕ, όπως η Γαλλία, η Ισπανία και η Δανία, βρίσκονται σε πιλοτικές φάσεις της εφαρμογής.
Αναμονή για Αντίκτυπο και Αντίμετρα
Μέχρι στιγμής, η Ευρωπαϊκή Επιτροπή δεν έχει παράσχει επίσημη ενημέρωση ή δημόσια απάντηση σχετικά με τα γνωστά ζητήματα ασφαλείας που έχουν ανακύψει. Η έλλειψη διαφανότητας μπορεί να δημιουργήσει περαιτέρω ανησυχίες και ερωτήματα σχετικά με τη δυνατότητα της εφαρμογής να διασφαλίσει την ασφάλεια των δεδομένων των χρηστών.
