Çocuk koruma alanında teknolojik bir dönüm noktası olması amaçlanmıştı: mahremiyetten ödün vermeden yaşı doğrulayan bir AB uygulaması. Ancak Komisyon Başkanı Ursula von der Leyen'in sunumundan birkaç saat sonra proje eleştirilere maruz kaldı. Güvenlik uzmanı Paul Moore, X'te sistemi iki dakikadan kısa sürede nasıl “kırdığını” gösterdi.
Reklamdan sonra devamını okuyun
Analizi, hassas verilerin cihazda korunmasız kaldığını ortaya koyuyor. PIN kodları yeterince güvenli değil, basit yapılandırma dosyalarının sıfırlanmasıyla hız sınırları geçersiz kılınabilir ve biyometrik kimlik doğrulama tek tıklamayla devre dışı bırakılabilir. Moore şu uyarıda bulunuyor: “Bu ürün büyük bir veri sızıntısının katalizörü olacak.”
Fransız hacker Baptiste Robert, Moore'un bulgularını doğruladı. PIN kodunu veya Touch ID'yi kolayca atlamak da mümkün olacaktır. Kriptolojist Olivier Blazy pratik bir sorun görüyor: “Diyelim ki uygulamayı indirdim ve 18 yaşının üzerinde olduğumu kanıtladım. Daha sonra yeğenim telefonumu alabilir, uygulamanın kilidini açabilir ve kendisini bir yetişkin olarak kanıtlamak için kullanabilir.”
Komisyon kendi aracını savunuyor. Bir sözcü sadece işlerin hala iyileştirilebileceğini itiraf etti. Brüksel ayrıca bilgisayar korsanlarının eski bir demo sürümünü test ettiğini söyledi ancak bunu yalanladılar. Daha sonra çevrimiçi olarak sunulan “son sürümün” hâlâ bir demo olduğu açıklandı. Vatandaşlara yönelik nihai ürün ancak daha sonra sunulacak ve kod sürekli olarak güncellenecektir.
Düzeltici olarak açık kaynak
Bu açıkların bu kadar çabuk bulunması da uygulamanın açık kaynak olmasından kaynaklanıyor. Blazy bu yaklaşımı övüyor. Ancak kaynak kodunun henüz beklenen güvenlik standartlarını karşılamadığından şikayetçi. Aceleci bir başlangıç, EUDI dijital kimliği gibi gelecekteki projelere duyulan güveni zedeleyebilir.
Ayrıca komisyon başkanının anonimlik sözü vermesi de şüpheli görünüyor. Hasso Plattner Enstitüsü'nden Anja Lehmann gibi uzmanlar bu görüşe katılmıyor. Uygulama takma adlara dayandığından, web sitesi operatörleri kullanıcı etkinliklerini daha uzun sürelere bağlayabilir. Bir reklam videosu sinir bozucu: Yüz taraması ile kimlik belgesi arasındaki biyometrik karşılaştırmayı gösteriyor; bu, von der Leyen'in platform operatörleri tarafından her zaman reddedildiği bir süreç. Hamburg Üniversitesi'nden Judith Simon, bağlantı kurulamazlığın gerçek mahremiyetin ön koşulu olduğu konusunda uyarıyor.
Reklamdan sonra devamını okuyun
Pek çok uzman, AB'nin neden önceden planlanmış olan EUDI'ye paralel bir altyapı inşa ettiğini merak ediyor. Lehmann, önemli güvenlik kriterleri açısından yerleşik standartlardan saptığı için ayrı bir uygulamanın “pek kullanışlı olmadığını” düşünüyor. Epicenter.works adlı STK'dan Thomas Lohninger, Komisyon'un girişimini yeniden düşünmesi ve mevcut çevrimiçi yasaların gecikmiş uygulamasına yoğunlaşması gerektiği konusunda uyarıyor.
Son fakat bir o kadar da önemli olarak, etkililik sorunu devam etmektedir. Wuppertal Üniversitesi'nden Tibor Jager, yaş testini “aşılması önemsiz” olarak tanımlıyor. VPN hizmetleri, kuralların geçerli olmadığı AB dışındaki bir konumu simüle etmek için kullanılabilir. Araştırmacı teknik engeller yerine “dijital trafik eğitimini” savunuyor. Ancak Komisyon takvime sadık kalıyor. Sekiz devlet başkanı, sosyal medyanın küçüklere yönelik olarak kısıtlanması yönündeki hamleyi prensipte destekliyor. Uygulama henüz düzenli kullanıma girmediğinden düzeltmeler için zaman var. “Gizlilik için altın standarda” ulaşmak için hâlâ uzun bir yol var.
(mki)
Bir yanıt yazın