Основатель мессенджера Telegram Павел Дуров заявил, что представленное Еврокомиссией приложение для проверки возраста пользователей интернета на самом деле является замаскированным инструментом тотальной слежки за европейцами.
Несколько дней назад европейские чиновники сообщили о завершении разработки специального ПО, которое вскоре станет обязательным для пользователей онлайн-платформ. Чтобы пройти верификацию, человеку потребуется загрузить скан удостоверения личности.
Павел Дуров обратил внимание на оценку экспертов, согласно которой данное приложение можно взломать всего за две минуты. Об этом предупредил консультант по вопросам кибербезопасности Пол Мур: как считает специалист, продукт рано или поздно станет катализатором масштабного взлома.
По мнению Дурова, в приложении были умышленно оставлены лазейки.
«Их приложение для проверки возраста было взломано намеренно – оно доверяло устройству (игра окончена на этом)», – написал он.
Разработчик Telegram изложил предполагаемый план Еврокомиссии, состоящий из трех шагов. Первый – представить «уважающее конфиденциальность», но заведомо уязвимое приложение. Второй – дождаться его взлома. Третий – убрать конфиденциальность под предлогом «исправления» ошибок. Конечным результатом, считает Дуров, станет инструмент слежки, продающийся как «уважающий конфиденциальность».
«Бюрократам ЕС нужен был предлог, чтобы незаметно начать превращать свое «уважающее частную жизнь» приложение для проверки возраста в механизм слежки за всеми европейцами, пользующимися социальными сетями. Сегодняшний «неожиданный взлом» только что дал им такой повод», – добавил основатель Telegram.
Как сообщил Пол Мур, ссылку на выводы которого оставил Дуров, приложение хранит зашифрованный PIN-код локально на устройстве в зашифрованном виде. При этом шифрование не привязано к хранилищу идентификационных данных пользователя, где на серверах лежат конфиденциальные сведения для проверки (токены, учетные записи). Это открывает возможность для простого обхода защиты. Злоумышленник может удалить определенные значения, связанные с PIN-кодом, из конфигурационных файлов приложения и перезапустить его, после чего установить новый PIN-код, сохранив доступ к учетным данным, созданным в предыдущем профиле.
