Европейская комиссия представила приложение для проверки возраста с очень громкими обещаниями. Урсула фон дер Ляйен заявила, что сервис позволит подтверждать возраст без раскрытия других персональных данных, будет соответствовать самым высоким стандартам конфиденциальности, не даст возможности отслеживать пользователей и имеет полностью открытый код.
Также подчеркивалось, что решение уже технически готово к запуску, а следовательно онлайн-платформы больше не могут оправдываться отсутствием инструментов для проверки возраста. В сопроводительных материалах комиссия описала продукт как законченный и безопасный. Впрочем, эти заявления быстро вызывали сомнения-даже базовые знания в сфере кибербезопасности позволяли предположить проблемы. И действительно, приложение сломали фактически за один день без значительных усилий.
Публичная демонстрация показала, что обойти защиту можно очень просто. PIN-код, который должен был защищать учетные данные, легко обходился, механизм блокировки-сбрасывался, а биометрическую проверку можно было полностью отключить. Несмотря на это, система все равно генерировала валидные подтверждения возраста. Для взлома не понадобились сложные инструменты или длительный анализ кода – все выглядело быстро и доступно даже для подготовленного пользователя. Такая ситуация указывает не на сложную уязвимость, а на слабую безопасность с самого начала.
Дополнительные проверки выявили еще более серьезные проблемы с обработкой биометрических данных. Во время NFC-сканирования документов приложение считывало фото лица с чипа и сохраняло его на устройстве в формате PNG. Удаление происходило только после успешного завершения процесса – в случае сбоя файл оставался. Еще хуже ситуация была с селфи: такие изображения записывались во внешнюю память и могли не удаляться вообще. Это создает реальные риски утечки конфиденциальных данных, даже если финальные токены защищены.
Несоответствие между обещаниями и реальностью кажется трудным для объяснения. Урсула фон дер Ляйен представляла продукт не как тестовую версию или пилот, а как полностью готовое решение – анонимное, безопасное и пригодное к использованию. Подобный подход, когда политические цели опережают техническую готовность, может иметь серьезные последствия, особенно когда речь идет о документах, биометрии и цифровой идентификации.
Отдельно стоит обратить внимание на аргумент о защите детей, который активно использовался во время презентации. Хотя это важная цель, сама по себе она не делает инструмент более безопасным. Если приложение не обеспечивает даже базовой защиты доступа и оставляет биометрические данные в открытом виде, никакие формулировки не компенсируют технические недостатки. Более того, поспешное внедрение под предлогом безопасности может иметь неприятные последствия.
Более широкий вопрос заключается в том, как подобные системы меняют представление о норме. Если проверка возраста через документы и биометрию становится обычным требованием для доступа к онлайн-сервисам, это постепенно меняет ожидания пользователей. Хотя приложение ЕС подавалось как доказательство того, что конфиденциальная проверка возраста возможна в больших масштабах, результаты тестов свидетельствуют: реальный уровень готовности оказался значительно ниже, чем заявлялось официально.