Bildiyiniz kimi, bu günlərdə dünyada internet nəzarəti gücləndirilir. 18 yaşdan kiçiklərə müəyyən məhdudiyyətlər tətbiq edilsə də, yaşı müəyyən etmək üçün şəxsiyyət təsdiqləmə tətbiqləri tətbiq olunur. Həqiqətən də, bu həftə Avropa Birliyi də bu tendensiyaya qoşuldu. Avropa Komissiyası istifadəçilərə şəxsi məlumatları paylaşmadan yaşlarını sübut etməyə imkan verən yeni bir tətbiq təqdim etmişdi. Lakin bu sistem istifadəyə verildikdən 48 saatdan az müddət sonra təhlükəsizlik zəiflikləri ilə ön plana çıxıb. Beləliklə, Avropa Birliyinin yeni şəxsiyyət və ya yaş təsdiqləmə tətbiqi sadəcə 2 dəqiqədə sındırılıb.
14 apreldə istifadəyə verilən Rəqəmsal Yaş Təsdiqləmə Tətbiqi istifadəçilərə pasport və ya şəxsiyyət vəsiqəsi vasitəsilə yaşlarını təsdiqləməyə imkan verir. Avropa Komissiyasının prezidenti Ursula fon der Leyen tətbiqi “yüksək məxfilik standartlarına malik istifadəçi dostu bir həll” kimi təsvir etdi. Lakin sistemin təhlükəsizliyi ilə bağlı tapıntılar bu iddialı iddialara kölgə saldı. Böyük Britaniyada yaşayan təhlükəsizlik məsləhətçisi Pol Mur tətbiqin şəxsiyyət təsdiqləmə mexanizmini iki dəqiqədən az müddətdə tamamilə deaktiv etməyi bacarıb.
Sistemdə hakerlərin istismar edə biləcəyi çoxsaylı zəifliklər var
AB-nin yaş yoxlama tətbiqində istifadəçidən alınan PIN kodu şifrələnir və cihazdakı “shared_prefs” adlı yerli faylda saxlanılır. Pol Mur bu strukturda iki əsas memarlıq qüsurunu aşkar etdi: Şifrəli PIN, identifikasiya məlumatlarını saxlayan sistemlə kriptoqrafik olaraq əlaqələndirilmir və istifadə edilən şifrələmə metodu, faylın asanlıqla redaktə edilə bilməsi səbəbindən praktik olaraq heç bir təhlükəsizlik təmin etmir. Bu zəiflik, fiziki girişi olan təcavüzkara müvafiq fayldakı PinEnc və PinIV dəyərlərini silməyə, tətbiqi sıfırlamağa və seçdiyi yeni bir PIN ilə daxil olmağa imkan verir. Daha da əhəmiyyətlisi, tətbiq bu yeni PIN-i qəbul etdikdən sonra əvvəlki istifadəçinin təsdiqlənmiş etimadnaməsini etibarlı hesab etməyə davam edir. Bu o deməkdir ki, yaş yoxlama məlumatları heç bir xəbərdarlıq etmədən təhlükəyə atıla bilər. Problemlər bununla bitmir. Eyni konfiqurasiya faylında saxlanılan digər vacib təhlükəsizlik mexanizmləri də asanlıqla manipulyasiya edilə bilər.
Məsələn, kobud güc hücumlarına qarşı istifadə edilən sürət məhdudlaşdırma sistemi sadəcə bir sayğacdır və bu sayğac limitsiz cəhdlərə icazə vermək üçün sıfırlana bilər. Eynilə, bu təhlükəsizlik təbəqəsi biometrik identifikasiyanın aktiv olub-olmadığını müəyyən edən parametri dəyişdirməklə tamamilə deaktiv edilə bilər. Fiziki girişi olmayan birinin sistemi keçməsinə imkan verən zəifliklər də mövcuddur. Mütəxəssislərin fikrincə, bu, kiçik bir proqram səhvindən daha çox, sistemin fundamental dizaynında ciddi bir zəifliyi göstərir.
Pol Murun tapıntılarını paylaşmasından sonra Avropa Komissiyası tədbir gördü və sistemdə bəzi dəyişikliklər etdikdən sonra tətbiqin yeniləndiyini elan etdi. Lakin ilk gündən ortaya çıxan bu problemlər, qarşıdan gələn Avropa Rəqəmsal Şəxsiyyət sistemində istifadə edilməsi planlaşdırılan bu sistemlərdə böyük problemlərin yaranma potensialını ortaya qoyur.
