اپلیکیشن رسمی اتحادیه اروپا برای احراز سن کاربران، در کمتر از ۲ دقیقه هک شد
اپلیکیشن جدید اتحادیهی اروپا برای تأیید سن، مدت کوتاهی پساز رونمایی، زیر تیغ انتقادات قرار گرفت. یک پژوهشگر امنیتی ادعا کرده است که توانسته سدهای امنیتی این برنامه را در کمتر از ۲ دقیقه دور بزند.
اتحادیهی اروپا روز چهارشنبه از اپلیکیشن تأیید سن رونمایی کرد؛ ابزاری که قرار بود به کاربران اجازه دهد بدون ارائهی دادههای شخصی به پلتفرمها، سن خود را در فضای آنلاین اثبات کنند و نیاز سایتها به جمعآوری اطلاعات حساس را از بین ببرد. این انتقادات درست پساز آن مطرح شد که اورسولا فوندِر لاین، رئیس کمیسیون اروپا، اپلیکیشن را از نظر فنی «آماده» خواند و مدعی شد که با «بالاترین استانداردهای حریم خصوصی» مطابقت دارد. او همچنین متنباز بودن اپلیکیشن را نمادی از شفافیت دانست.
اپلیکیشنی که رئیس کمیسیون اروپا آن را نمادِ «بالاترین استانداردهای حریم خصوصی» میدانست، به دلیل معماری مبتدیانه، در کمتر از ۲ دقیقه تسلیم هکرها شد.
بهنظر میرسد شفافیت، کار دست اتحادیه اروپا داده است؛ چرا که کارشناسان امنیتی در شبکهی اجتماعی X بهشدت امنیت اپلیکیشن احراز سن را زیر سؤال بردند. پل مور، مشاور امنیتی، نقصهای ساختاری این سیستم را تشریح کرد و خطاب به فوندرلاین نوشت: «جدا میگویم؛ این محصول در نهایت کاتالیزوری برای یک نقض اطلاعاتی عظیم خواهد بود. فقط مسئلهی زمان است». نمونهی اولیهی اپلیکیشن در جولای ۲۰۲۵ عرضه شده بود.
بهگفتهی مور، اپلیکیشن احراز سن، یک پینکد رمزنگاریشده را بهصورت محلی در دستگاه ذخیره میکند؛ اما نکتهی فاجعهبار اینجاست که این رمزنگاری هیچ اتصالی به Identity Vault یا «صندوقچهی هویت» کاربر ندارد؛ جاییکه دادههای حساسِ تأیید هویت نگهداری میشوند. چنین نقصی، راه را برای یک نفوذ بسیار ساده باز میکند.
یک مهاجم تنها با حذف مقادیر مرتبط با پین از فایلهای پیکربندی برنامه و راهاندازی مجدد آن، میتواند پین جدیدی تنظیم کند؛ درحالیکه همچنان به مدارک هویتیِ ساختهشده در پروفایل قبلی دسترسی دارد. در واقع، اپلیکیشن بهراحتی دادههای هویتیِ استفادهشده را تحت یک کنترل دسترسیِ جدید میپذیرد.
مور به ضعفهای دیگری نیز اشاره کرد که حملات حدس زدن رمز (Brute-force) یا دور زدن سیستم را حتی آسانتر میکند. مکانیزم Rate Limiting یا «محدودیت نرخ» که معمولا برای جلوگیری از حدس زدنهای متوالی پین استفاده میشود، در اپلیکیشن اتحادیهی اروپا، صرفا یک شمارندهی ساده در همان فایل پیکربندیِ قابل ویرایش است. اگر هکر عدد را به صفر تغییر دهد، سیستم به کل فراموش میکند که قبلا چند بار پین اشتباه وارد شده بود!
وضعیت امنیتی آنقدر مبتدیانه است که برای دور زدن سد بیومتریک، هکرها صرفا باید در کدهای برنامه، کلمه True را به False تغییر دهند تا سیستم از خیر بررسی چهره یا اثر انگشت بگذرد!
وضعیت احراز هویت بیومتریک مضحکتر است؛ این بخش تنها با یک متغیر بولی (Boolean) کنترل میشود. کافی است هکر کلمهی «true» را به «false» تغییر دهد تا اپلیکیشن بدون هیچ پرسشی از خیر بررسیهای بیومتریک (مانند اثر انگشت یا چهره) بگذرد.
بسیاری از توسعهدهندگان در فضای مجازی به نوع طراحی اپلیکیشن اتحادیهی اروپا واکنش نشان دادند. اصل اولیهی امنیت میگوید که دادههای حساسِ احراز هویت هرگز نباید توسط کاربر نهایی قابل دسترسی یا ویرایش باشند. یکی از توسعهدهندگان با اشاره به امکانات گوشیهای هوشمند امروزی پرسید: «چرا آنها از حریم امن (Secure Enclave) سختافزاری استفاده نکردند؟»
علاوهبر مشکلات فنی، منطق کلی اپلیکیشن نیز مورد انتقاد قرار گرفت؛ از جمله محدودیت در تعداد دفعاتی که کاربر میتواند سن خود را تأیید کند و وجود تاریخ انقضا برای مدارک اثبات سن.
در حال حاضر، کشورهای بیشتری در سراسر جهان در حال مبارزه با آسیبهای آنلاین برای کودکان هستند. قانونگذاران اتحادیهی اروپا پیشتر از محدودیتهای سنی شبکههای اجتماعی حمایت کرده و ممنوعیت برای کودکان زیر ۱۳ سال و الزام رضایت والدین برای افراد تا ۱۶ سال را پیشنهاد داده بودند.
چگونه در عصرِ گوشیهای هوشمند، اتحادیه اروپا استفاده از فضای امن سختافزاری را نادیده گرفته و دادههای حساس هویتی را در یک فایلِ ساده و قابلِ ویرایش رها کرده است؟
بریتانیا نیز با قانون «ایمنی آنلاین» خود موضعی سختگیرانه اتخاذ کرد و سایتهای بزرگسالان را ملزم کرد تا اواسط سال ۲۰۲۵، بررسیهای سنی را اجرا کنند. این کشور همچنین پلتفرم ردیت را بهدلیل نقص در تأیید سن، ۲۰ میلیون دلار جریمه کرد و در نهایت اپل را مجبور ساخت تا حالت «کودک بهطور پیشفرض» را در سطح دستگاه پیادهسازی کند؛ قابلیتی که میلیونها کاربر آیفون را تا زمان تأیید سن در محدودیت دسترسی قرار داد.
استرالیا نیز به اولین کشوری تبدیل شد که شبکههای اجتماعی را برای افراد زیر ۱۶ سال بهطور کامل ممنوع کرد و شرکتهایی نظیر متا، تیکتاک و اسنپچت از آن تبعیت کردند. پس از این ممنوعیت، وبسایتهای بزرگسالان نیز کاربران تأییدنشدهی استرالیایی را به طور کامل مسدود کردند.
اجرای قوانین محدودیت سنی با مقاومت برخی از شرکتهای فناوری مواجه شده است که استدلال میکنند اعمال محدودیتهای سنی مشکلات عملی و چالشهای حریم خصوصی به همراه دارد. پلتفرم دیسکورد پس از اعلام تنظیمات «نوجوان بهطور پیشفرض» که تمام بزرگسالان را ملزم میکرد سن خود را از طریق تشخیص چهره یا مدارک دولتی تأیید کنند، به کانون جنجالها تبدیل شد.
کارشناسان امنیتی هشدار دادند که این اقدام در حال ایجاد تلههای هویتی متمرکز است که اهدافی طلایی و بهشدت آسیبپذیر برای حملات سایبری محسوب میشوند؛ هشداری که در نهایت دیسکورد را مجبور کرد عرضهی جهانی این ویژگی را به تعویق بیندازد. تاکنون ۴۰۵ پژوهشگر امنیتی با امضای یک نامهی سرگشاده هشدار دادهاند که این قوانین باعث کاهش حریم خصوصی و افزایش خطرات نظارتی میشوند. پیشتر نیز تحقیقات نشان داده بود که قوانین تأیید سن، میلیونها کاربر را به سمت استفاده از VPN-های رایگان و ناامن سوق میدهد.