KE: aplikacja do weryfikacji wieku gotowa. Eksperci: nie do końca

Od blisko dwóch lat w przestrzeni publicznej pojawiają się zapowiedzi wprowadzenia weryfikacji wieku w sieci. O pierwszych tego rodzaju zabiegach informowaliśmy na naszym portalu w listopadzie 2024 roku, gdy wiceminister cyfryzacji Michał Gramatyka zapowiedział pojawienie się „skutecznego” mechanizmu dla użytkowników chcących oglądać pornografię.

Z kolei dwa miesiące temu wiceminister Dariusz Standerski zadeklarował, że taka możliwość pojawi się w Europejskim Portfelu Tożsamości Cyfrowej.

von der Leyen: aplikacja jest gotowa

Tymczasem w połowie kwietnia Komisja Europejska zaprezentowała pierwszą wersję unijnej aplikacji do weryfikacji wieku. Jak stwierdziła w swoim przemówieniu przewodnicząca KE Ursula von der Leyen, jest ona otwartoźródłowa, przyjazna użytkownikowi i zapewnia całkowitą anonimowość.

„Nasza europejska aplikacja do weryfikacji wieku jest już gotowa pod względem technicznym i wkrótce będzie dostępna dla obywateli. (…) Nie będziemy tolerować żadnych firm, które nie szanują praw naszych dzieci. Pociągniemy do odpowiedzialności te platformy internetowe, które nie zapewniają naszym dzieciom wystarczającej ochrony” – zapewniła von der Leyen.

Kod aplikacji został udostępniony na GitHubie projektu Europejskiej Tożsamości Cyfrowej jako open source – według słów przewodniczącej, „aby każdy mógł sprawdzić kod”. Jak czytamy w readme repozytorium wersji na Androida, jest to fork wzoru Europejskiego Portfela Tożsamości Cyfrowej.

„Ta aplikacja stanowi przykładową implementację rozwiązania do weryfikacji wieku, którą należy dostosować przed jej opublikowaniem. Obecna wersja nie zawiera wszystkich funkcji i przed wdrożeniem w środowisku produkcyjnym będzie wymagała dalszych prac integracyjnych. W szczególności wszelkie procedury rejestracji specyficzne dla danego kraju muszą zostać wdrożone przez odpowiednie państwa członkowskie lub podmioty publikujące” – zaznaczyli deweloperzy.

Zabezpieczenia łatwe do obejścia

Deklaracje przewodniczącej KE szybko zweryfikowało sprawdzenie kodu, którego dokonali eksperci cyberbezpieczeństwa. Jak podaje Politico, francuski etyczny haker Baptiste Robert ujawnił, że możliwe jest uzyskanie dostępu do aplikacji z pominięciem weryfikacji – czyli wpisania kodu PIN lub wykorzystania biometrii. Z kolei Olivier Blazy, członek francuskiego zespołu ds. tożsamości cyfrowej zauważył, że jeżeli potwierdzi swój wiek, to „jego bratanek może wziąć telefon, odblokować aplikację i za jej pomocą potwierdzić, że jest pełnoletni”.

Tymczasem analiza przeprowadzona przez Paula Moore’a wykazała, że aplikacja szyfruje utworzony kod PIN i zapisuje go w niezabezpieczonym pliku w ramach identity vault. Ten z kolei można zmodyfikować, aby atakujący mógł ustawić nowy PIN przy jednoczesnym utrzymaniu starych danych; możliwe jest również resetowanie licznika mającego uniemożliwić złamanie PIN za pomocą brute force. Całość miała mu zająć jedynie 2 minuty.

„To będzie katalizator dla wielkiego naruszenia danych. To tylko kwestia czasu” – podsumował Moore we wpisie na X.

Ograniczenia w weryfikacji i systemach

Z kolei profil The Collective Sensemaking Project zauważył, że aplikacja umożliwia weryfikację wieku ograniczoną liczbę razy. Dodatkowo, cyfrowy dokument ma datę ważności i trzeba go odnawiać.

„Jeżeli przekroczę 18 lat, to zawsze będę miał więcej niż 18 lat. Nie stanę się młodszy” – podkreślił ironicznie.

Na liście zgłoszonych problemów na GitHubie użytkownicy zauważyli również ciekawą rzecz: wbrew słowom Ursuli von der Leyen o działaniu aplikacji „na wszystkich urządzeniach” (w tym komputerach), wymagany jest telefon z Androidem lub iOS – przy czym w sierpniu 2025 „nie wykluczono” wsparcia dla GrapheneOS. Wzbudziło to obawy o dalsze uzależnienie użytkowników od usług Google’a czy Apple i apele o porzucenie integracji z Google Play Integrity.

KE: to gotowe demo, ale prace trwają

Dopiero po tej krytyce Komisja Europejska przyznała, że nawet pomimo określenia zaprezentowanej wersji jako „gotowej”, prace nad produktem nie zostały ukończone. Z informacji podawanych przez serwis Cybernews, podczas briefingu prasowego przedstawiciel KE stwierdził, że obecna wersja zawiera „wszystkie funkcje” (w pliku readme w repozytorium na Androida nadal widnieje informacja, że jest na odwrót), ale nadal jest „wersją demonstracyjną”. Główną różnicą jest to, że… nie została jeszcze udostępniona mieszkańcom Unii Europejskiej.

„Chociaż prace techniczne z naszej strony wciąż trwają, kod będzie na bieżąco aktualizowany i ulepszany, aż do momentu, gdy ostateczne rozwiązanie zostanie udostępnione naszym obywatelom” – wyjaśnił przedstawiciel cytowany przez Cybernews. Repozytorium na GitHubie ma być „aktywnie aktualizowane”, a nowa wersja aplikacji ma być odpowiedzią na falę krytyki.