Aplikace pro ověřování věku v EU byla hacknuta za méně než dvě minuty… a je to čím dál horší!

Zde je otázka: Jak dlouho by trvalo bezpečnostnímu konzultantovi hacknout novou, „technicky sofistikovanou“ aplikaci EU pro ověřování věku?

A tady je odpověď: méně než dvě minuty.

Příběh o nové elegantní aplikaci EU pro ověřování věku a o zjevných technických nedostatcích, které okamžitě učinily její tvrzení o „technické sofistikovanosti“ absurdními, je nepochybně dostatečně pozoruhodný.

Ale tohle není jen zábavný příběh o technokratické neschopnosti EU. Je to vlastně případová studie kybernetických útoků pod falešnou vlajkou. A tento příběh nám říká něco důležitého o nadcházející digitální dystopii.

Chcete znát podrobnosti? Pak čtěte dál!

„Zábavný příběh“ o pozoruhodném selhání aplikace v EU

Jak ví každý, kdo sleduje zprávy, vlády po celém světě usilují o vynucení požadavků na ověřování věku pro stránky sociálních médií ve jménu „ochrany dětí“ před „online nebezpečím“. Zavedení zákazu sociálních médií v Austrálii v loňském roce – nový zákon, který „zakazuje všem uživatelům mladším 16 let mít účty na hlavních platformách včetně TikToku, Snapchatu, YouTube, Redditu, Instagramu, Facebooku, Kicku, Twitchi, Threads a X“ – bylo prvním a nejvýraznějším příkladem tohoto trendu. Od té doby začaly podobné právní předpisy navrhovat nebo přijímat Brazílie, Kanada, Turecko, Norsko, Japonsko, Řecko, několik států USA a stále více dalších vlád.

Aby vlády zavedly „řešení“ tohoto „problému“ s ověřováním věku uživatelů sociálních médií, snaží se vstoupit na trh s aplikacemi pro ověřování věku. Například EU slíbila „návrh pro online ověřování věku“ v červenci 2025, kdy výkonná místopředsedkyně Evropské komise Henna Virkkunen oznámila, že Komise spolupracuje s členskými státy na vývoji „společného přístupu“ k „harmonizované metodě ověřování věku v celé EU“.

Toto „řešení“ konečně přišlo minulý měsíc v podobě nové aplikace EU Age Verification Wallet, kterou s velkou slávou představila předsedkyně Evropské komise Ursula von der Leyenová na tiskové konferenci 15. dubna.

Jediný problém? Ačkoli von der Leyen ujistila, že aplikace je „technicky připravená a brzy bude k dispozici občanům“, bezpečnostní výzkumník Paul Moore potřeboval k jejímu prolomení pouhé dvě minuty.

Ve skutečnosti, jak dále vysvětlil, je bezpečnostní architektura této aplikace tak nedokonalá, že jí téměř chybí důvěryhodnost. Podle Moora má aplikace následující nedostatky:

• ukládá zdrojový obraz použitý ke sběru ověřovacích dat v nešifrované podobě na pevný disk a tato data řádně neodstraní;
• používá „inkrementální číslo ve stejném konfiguračním souboru“ k omezení rychlosti, což znamená, že útočníci mohou jednoduše resetovat číslo zpět na „0“ a zkusit to znovu;
• PIN zaregistrovaný uživatelem není propojen s trezorem obsahujícím identifikační údaje, což znamená, že „útočník může jednoduše odstranit hodnoty PinEnc/PinIV ​​ze souboru shared_prefs a restartovat aplikaci“; a
• Systém omezuje počet ověření věku dostupných pro uživatele a zároveň nastavuje „datum platnosti“ pro jeho doklad o věku.

Pro ty, kteří nejsou obeznámeni s technickým žargonem: Jedná se o velmi závažné chyby , které činí aplikaci neuvěřitelně zranitelnou vůči útokům a vystavují soukromá data uživatelů , včetně skenů pasů a biometrických snímků.

Není divu, že techničtí novináři z Wired a TechPolicy.press, stejně jako mainstreamoví papoušci z Politico a The Independent , mají tendenci skandál vykreslovat jako „jejda“ příběh zdůrazňující neschopnost jinak dobře míněných technokratů. Například Politico ve svém článku na toto téma píše: „Z tohoto příběhu se stává PR katastrofa pro Brusel.“

Ale ne! Nemyslí snad někdo na PR oddělení Evropské komise?!

Ve zjevné snaze odvrátit tuto „PR katastrofu“ vydali úředníci EU minulý týden „ opravu chyby “, která měla řešit zjevné bezpečnostní zranitelnosti aplikace.

…Ale jak Paul Moore okamžitě poznamenal, tato „oprava“ byla stejně zásadně chybná jako původní verze. Konkrétně byrokraté EU:

• Problém se šifrováním dat v zařízení byl „opraven“… zavedením tří zastaralých závislostí;
• Problém se čtením pasů byl „vyřešen“ zavedením mechanismu pro mazání pasových fotografií, když již nejsou potřeba… ale zapomněli tyto fotografie zašifrovat;
• Problém s ukládáním PIN kódu byl „vyřešen“ přidáním hodnoty salt a hashováním PIN kódu… pomocí zastaralého standardu založeného na nepřijatelně malém počtu iterací.

Pro ty, kteří nejsou obeznámeni s bezpečnostním žargonem: Tohle je špatné. Ve skutečnosti, jak zdůrazňuje Moore, to není nic víc než „bezpečnostní divadlo“. Tyto opravy mají znít působivě, ale ve skutečnosti neřeší základní bezpečnostní nedostatky aplikace.

V tomto bodě bychom mohli být v pokušení přidat se k establišmentovým podlézačům, kteří vehementně kritizují technický tým Evropské komise za jeho neschopnost. Pokud ale s kritikou této aplikace skončíme zde, riskujeme, že se dostaneme do zrádné pasti.

Jak se ukázalo, za tímto katastrofálním spuštěním aplikace se skrývá ještě temnější teorie: Tyto bezpečnostní „chyby“ vůbec nejsou chybami…

Ne zrovna zábavná teorie, že se nejednalo o „chybu“

Když se setkají s katastrofálním selháním zavedené instituce, mainstreamoví „skeptici“ – ti lidé, kteří mají na zdech plakáty Michaela Shermera a v prohlížeči si uložili do záložek Snopes.com – rádi citují pravidlo známé jako Hanlonova břitva. Jak vám řekne každý sebeúctyhodný ověřovatel faktů, toto přísloví říká: „Nikdy nepřipisujte zlomyslnosti to, co lze adekvátně vysvětlit hloupostí.“

Ale co by se mělo dělat v případě, jako byl případ katastrofy s aplikací EU? Koneckonců, jak zdůraznili Moore a další, nejde jen o programátorskou chybu nezkušeného programátora. Spíše byla tato aplikace navržena se zásadními bezpečnostními chybami zakotvenými v její digitální DNA. Je to jen případ „jakékoli“ neschopnosti?

Například Pavel Durov tomu nevěří. Možná ho znáte jako spoluzakladatele a generálního ředitele Telegramu, platformy pro sociální média a instant messaging. Možná si také vzpomenete, že Durov byl v roce 2024 zatčen francouzskými úřady, protože nebyly spokojeny s absencí cenzury v Telegramu. A jak si dokážete představit, má na toto zavedení aplikace EU velmi odlišný názor než mainstreamový tisk.

„Nesmějte se byrokratům EU příliš rychle,“ napsal nedávno Durov v příspěvku na Telegramu k tomuto tématu. „Jejich aplikace pro ověřování věku byla hacknutelná od základu – důvěřovala zařízení (což znamenalo okamžitý konec hry).“

Poté spekuluje o skutečných záměrech tohoto údajného „selhání“.

Pokud EU 🤡nevedou klauni, toto je její skutečný plán:

Krok 1 – Zaveďte aplikaci „šetrnou k soukromí“, ale hacknutelnou.

Krok 2 – Nechte si to zkontrolovat (*JSTE ZDE*).

Krok 3 – Odeberte nastavení soukromí, abyste aplikaci „opravili“.

Výsledkem je sledovací nástroj, který se prodává jako „šetrný k soukromí“.

Úředníci EU potřebovali záminku, aby mohli potichu proměnit svou aplikaci pro ověřování věku, která je „v souladu s pravidly soukromí“, v mechanismus sledování všech Evropanů, kteří používají sociální média. Dnešní „překvapivý hack“ jim tuto záminku právě poskytl.

Jinými slovy, Durov teoretizuje, že zavedení této aplikace bylo ve skutečnosti jakousi virtuální akcí „pod falešnou vlajkou“. Úředníci EU nechtějí vyvíjet aplikaci, která by skutečně respektovala soukromí uživatelů, nebo takovou, která by uživatelům skutečně pomáhala udržovat si kontrolu nad jejich identitou a daty. Místo toho chtějí do každého telefonu nainstalovat sledovací aplikaci ve stylu „Velkého bratra“, aby shromáždila co nejvíce dat.

Tito mazaní technokraté ale věděli, že kdyby takovou dotěrnou aplikaci spustili hned, veřejnost by ji okamžitě odmítla. Místo toho tedy vydali špatně napsanou a snadno hacknutelnou aplikaci, aby demonstrovali, že jejich tvrzení o respektování soukromí uživatelů ve skutečnosti lidi ohrožuje. Teď už jen zbývá nabídnout své (předem naplánované) „řešení“ – aplikaci optimalizovanou pro zabezpečení, ale s velkým množstvím sledovacích funkcí – a sledovat, jak se o něj veřejnost bude dožadovat.

Je třeba uznat zásluhy byrokratům EU: pokud je to skutečně jejich plán, je dostatečně zákeřný, aby oklamal většinu veřejnosti. Jakoukoli představu, že aplikace byla záměrně navržena tak, aby se dala hacknout, mohou vyvrátit předstíraní skeptici, kteří naříkají nad „Hanlonovou břitvou“, a mainstreamová média, která se tohoto příběhu chopí jako příkladu „neschopnosti“ vlády.

V tomto případě bychom možná mohli Hanlonově břitvě čelit vlastní formulací. Říkejme tomu „Corbettův řezák“: „Nikdy nepřipisujte hloupost tomu, co se nejlépe vysvětluje úmyslnou sabotáží.“

Ale i kdyby „Corbettův řezák“ skutečně vysvětloval neuvěřitelně špatnou bezpečnostní architekturu aplikace , zůstává poměrně velká otázka: Proč jsou vlády po celém světě najednou tak posedlé ověřováním věku? Proč se chovají, jako by znalost věku uživatelů internetu byla tak naléhavým problémem?

Od kontroly věku po kontroly totožnosti

Část technokratické agendy, která se zabývá „ověřováním věku“, je samozřejmě odváděcí taktikou. Vlády se nestarají o bezpečnost dětí – viz očkování proti COVIDu a blokátory puberty jako dva nedávné příklady – a z obavy o teenagery na TikToku se příliš nevynasnaží ověřovat věk všech online.

Spíše jde o kontrolu. Konečným cílem – jak by nyní měli vědět oddaní Corbettovi reportéři – je dokonalá technokratická kontrolní síť. Tato kontrolní síť bude zahrnovat nejen totální dohled nad všemi občany v reálném čase – včetně jejich přesné polohy a pohybu, jejich interakcí, jejich aktivit a záznamů jejich rozhovorů – ale také kontrolu jejich transakcí prostřednictvím nějaké formy digitální měny.

Tato řídicí síť je však založena na digitálním identifikátoru. Aby mohli aspirující kontroloři lidstva provozovat a implementovat takový systém, musí mít všechny ve své digitální databázi a propojit jejich zařízení a všechny jejich digitální aktivity s jedním jedinečným identifikátorem.

Během éry COVIDu byl tento tlak na digitální identifikaci prezentován jako nezbytná součást státu biologické bezpečnosti. „Nechceš přece zabít babičku, že ne? Pak bys měl raději nechat sledovat svůj pohyb prostřednictvím našich aplikací pro sledování kontaktů a raději bys měl dodržovat naše kontroly digitálních očkovacích certifikátů!“

Je samozřejmé (ale stejně to řeknu): To byla lež. Nebo přesněji řečeno, byla to pohodlná výmluva – záminka k ospravedlnění budování rozsáhlé digitální infrastruktury, která propojuje pohyb a interakce lidí s jedinečným digitálním identifikátorem.

Teď, když je „podvodná demie“ za námi, technokraté hledají další způsob, jak tuto agendu prodat důvěřivé veřejnosti. A tak se uchylují ke stejnému starému refrénu: „Nemyslí nikdo na děti?“ Koneckonců chcete chránit děti před online pachateli, že?

Vzhledem k výše uvedenému nyní můžeme rozpoznat rychlý pokrok směrem k paradigmatu ověřování věku jako to, čím je: maskou pro agendu digitální identity. Ale nevěřte mi. Věřte Andymu Yenovi.

Pro ty, kteří to nevědí: Andy Yen je generálním ředitelem společnosti Proton AG, švýcarské technologické společnosti, která stojí za internetovými službami zaměřenými na soukromí, jako je ProtonMail. Minulý týden zveřejnil blogový příspěvek s názvem „Musíme zabránit tomu, aby ověřování věku zničilo online anonymitu“, ve kterém nastiňuje cestu od ověřování věku k digitální identifikaci a diskutuje o související hrozbě pro online soukromí.

Soukromí dat na internetu bylo vždy křehké. Ale s ověřováním věku jsme na pokraji toho, abychom museli požadovat identifikaci od každé osoby, která se připojí k internetu – z jakéhokoli důvodu, ať už je legální či nikoli, ať už je plnoletá či nikoli. A to by nás všechny mělo děsit.

I když žádná společnost nemůže jednoduše ignorovat zákony ve své jurisdikci, velké technologické společnosti prokázaly ochotu intenzivně spolupracovat s vládami. Každý rok vyhoví stovkám tisíc žádostí vlád o data, z nichž mnohé nikdy nejsou soudcem přezkoumány, a toto číslo neustále roste.

Navíc je známo, že podléhají vládnímu tlaku a zakazují aplikace. Pokud bude každý účet Apple ve Spojeném království vázán na vládou vydaný průkaz totožnosti, jak dlouho bude trvat, než totéž budou očekávat i všechny ostatní země? Jakmile použijete tyto shromážděné průkazy totožnosti k blokování přístupu na základě věku, je to jen malý krok k blokování přístupu na základě národnosti nebo jiných faktorů.

Jak dlouho to bude trvat, než Čína bude požadovat jména všech, kteří si stáhli konkrétní aplikaci? Jak dlouho to bude trvat, než budou technologickým gigantům zaslány seznamy „nežádoucích osob“ s pokyny, aby je zcela zablokovali na internetu? Je to opravdu cesta, kterou jsme připraveni se vydat?

Bohužel, odpověď na Yenovu poslední otázku by klidně mohla být „ano“.

Ve skutečnosti, pokud jim bude předložen věrohodný argument – ​​experti z EU prostě nejsou schopni naprogramovat aplikaci, která by splňovala požadavky na ochranu osobních údajů! – a věrohodný motiv – musíme chránit děti! – většina lidí se na návnadu chytne a připojí se k agendě ověřování věku. Jakmile si tyto dobře míněné, ale až příliš důvěřivé oběti uvědomí, že se vůbec nejedná o ověřování věku, ale spíše o vytvoření digitální sítě, bude už příliš pozdě. Už budou chyceny ve spárech digitálního giganta.

Skutečná otázka tedy zní: Co bychom s tímto problémem měli dělat? Jak víte, mám své vlastní nápady, včetně bojkotu gigantů sociálních médií, podpory rozvoje alternativ k sociálním médiím a dokonce i úplného odklonu od digitálního světa. Jsem přirozeně zvědavý na vaše vlastní názory na to, co hodláte dělat, zatímco se nám kolem krku utahuje smyčka digitální identity, a členové Corbett Report jsou zváni, aby se přihlásili a podělili se o své myšlenky v sekci komentářů níže.

Ale místo toho, abychom se utápěli v bezútěšnosti a chmurnosti, zaměřme se na pozitivní poznatky z dnešního vyšetřování. Až se příště nějaký samozvaný „skeptik“, nakloněný establishmentu, pokusí vysvětlit opakující se „selhání“ Hanlonovou břitvou, můžete nyní použít Corbettovy řezačky k vyříznutí jazyka a strčení ho zpět do krku.

…V přeneseném smyslu, samozřejmě.

Od Jamese Corbetta