اپلیکیشن

تلفن همراه

April 19, 2026
12:19 یکشنبه، 30ام فروردینماه 1405
کد خبر: 215385

اپلیکیشن رسمی اتحادیه اروپا برای احراز سن کاربران، در کمتر از ۲ دقیقه هک شد

منبع: زومیت

اپلیکیشن اتحادیه اروپا که قرار بود با بالاترین استانداردها از داده‌های کاربران محافظت کند، در کمتر از ۲ دقیقه هک شد.
اپلیکیشن جدید اتحادیه‌ی اروپا برای تأیید سن، مدت کوتاهی پس‌از رونمایی، زیر تیغ انتقادات قرار گرفت. یک پژوهشگر امنیتی ادعا کرده است که توانسته سدهای امنیتی این برنامه را در کمتر از ۲ دقیقه دور بزند.

اتحادیه‌ی اروپا روز چهارشنبه از اپلیکیشن تأیید سن رونمایی کرد؛ ابزاری که قرار بود به کاربران اجازه دهد بدون ارائه‌ی داده‌های شخصی به پلتفرم‌ها، سن خود را در فضای آنلاین اثبات کنند و نیاز سایت‌ها به جمع‌آوری اطلاعات حساس را از بین ببرد. این انتقادات درست پس‌از آن مطرح شد که اورسولا فون‌دِر لاین، رئیس کمیسیون اروپا، اپلیکیشن را از نظر فنی «آماده» خواند و مدعی شد که با «بالاترین استانداردهای حریم خصوصی» مطابقت دارد. او همچنین متن‌باز بودن اپلیکیشن را نمادی از شفافیت دانست.

اپلیکیشنی که رئیس کمیسیون اروپا آن را نمادِ «بالاترین استانداردهای حریم خصوصی» می‌دانست، به دلیل معماری مبتدیانه، در کمتر از ۲ دقیقه تسلیم هکرها شد.

به‌نظر می‌رسد شفافیت، کار دست اتحادیه اروپا داده است؛ چرا که کارشناسان امنیتی در شبکه‌ی اجتماعی X به‌شدت امنیت اپلیکیشن احراز سن را زیر سؤال بردند. پل مور، مشاور امنیتی، نقص‌های ساختاری این سیستم را تشریح کرد و خطاب به فون‌درلاین نوشت: «جدا می‌گویم؛ این محصول در نهایت کاتالیزوری برای یک نقض اطلاعاتی عظیم خواهد بود. فقط مسئله‌ی زمان است». نمونه‌ی اولیه‌ی اپلیکیشن در جولای ۲۰۲۵ عرضه شده بود.

به‌گفته‌‌‌ی مور، اپلیکیشن احراز سن، یک پین‌کد رمزنگاری‌شده را به‌صورت محلی در دستگاه ذخیره می‌کند؛ اما نکته‌ی فاجعه‌بار اینجاست که این رمزنگاری هیچ اتصالی به Identity Vault یا «صندوقچه‌ی هویت» کاربر ندارد؛ جایی‌که داده‌های حساسِ تأیید هویت نگهداری می‌شوند. چنین نقصی، راه را برای یک نفوذ بسیار ساده باز می‌کند.

یک مهاجم تنها با حذف مقادیر مرتبط با پین از فایل‌های پیکربندی برنامه و راه‌اندازی مجدد آن، می‌تواند پین جدیدی تنظیم کند؛ درحالی‌که همچنان به مدارک هویتیِ ساخته‌شده در پروفایل قبلی دسترسی دارد. در واقع، اپلیکیشن به‌راحتی داده‌های هویتیِ استفاده‌شده را تحت یک کنترل دسترسیِ جدید می‌پذیرد.

مور به ضعف‌های دیگری نیز اشاره کرد که حملات حدس زدن رمز (Brute-force) یا دور زدن سیستم را حتی آسان‌تر می‌کند. مکانیزم Rate Limiting یا «محدودیت نرخ» که معمولا برای جلوگیری از حدس زدن‌های متوالی پین استفاده می‌شود، در اپلیکیشن اتحادیه‌ی اروپا، صرفا یک شمارنده‌ی ساده در همان فایل پیکربندیِ قابل ویرایش است. اگر هکر عدد را به صفر تغییر دهد، سیستم به کل فراموش می‌کند که قبلا چند بار پین اشتباه وارد شده بود!

وضعیت امنیتی آن‌قدر مبتدیانه است که برای دور زدن سد بیومتریک، هکرها صرفا باید در کدهای برنامه، کلمه True را به False تغییر دهند تا سیستم از خیر بررسی چهره یا اثر انگشت بگذرد!

وضعیت احراز هویت بیومتریک مضحک‌تر است؛ این بخش تنها با یک متغیر بولی (Boolean) کنترل می‌شود. کافی است هکر کلمه‌ی «true» را به «false» تغییر دهد تا اپلیکیشن بدون هیچ پرسشی از خیر بررسی‌های بیومتریک (مانند اثر انگشت یا چهره) بگذرد.

بسیاری از توسعه‌دهندگان در فضای مجازی به نوع طراحی اپلیکیشن اتحادیه‌ی اروپا واکنش نشان دادند. اصل اولیه‌ی امنیت می‌گوید که داده‌های حساسِ احراز هویت هرگز نباید توسط کاربر نهایی قابل دسترسی یا ویرایش باشند. یکی از توسعه‌دهندگان با اشاره به امکانات گوشی‌های هوشمند امروزی پرسید: «چرا آن‌ها از حریم امن (Secure Enclave) سخت‌افزاری استفاده نکردند؟»

علاوه‌بر مشکلات فنی، منطق کلی اپلیکیشن نیز مورد انتقاد قرار گرفت؛ از جمله محدودیت در تعداد دفعاتی که کاربر می‌تواند سن خود را تأیید کند و وجود تاریخ انقضا برای مدارک اثبات سن.

در حال حاضر، کشورهای بیشتری در سراسر جهان در حال مبارزه با آسیب‌های آنلاین برای کودکان هستند. قانون‌گذاران اتحادیه‌ی اروپا پیش‌تر از محدودیت‌های سنی شبکه‌های اجتماعی حمایت کرده و ممنوعیت برای کودکان زیر ۱۳ سال و الزام رضایت والدین برای افراد تا ۱۶ سال را پیشنهاد داده بودند.

چگونه در عصرِ گوشی‌های هوشمند، اتحادیه اروپا استفاده از فضای امن سخت‌افزاری را نادیده گرفته و داده‌های حساس هویتی را در یک فایلِ ساده و قابلِ ویرایش رها کرده است؟

بریتانیا نیز با قانون «ایمنی آنلاین» خود موضعی سخت‌گیرانه اتخاذ کرد و سایت‌های بزرگسالان را ملزم کرد تا اواسط سال ۲۰۲۵، بررسی‌های سنی را اجرا کنند. این کشور همچنین پلتفرم ردیت را به‌دلیل نقص در تأیید سن، ۲۰ میلیون دلار جریمه کرد و در نهایت اپل را مجبور ساخت تا حالت «کودک به‌طور پیش‌فرض» را در سطح دستگاه پیاده‌سازی کند؛ قابلیتی که میلیون‌ها کاربر آیفون را تا زمان تأیید سن در محدودیت دسترسی قرار داد.

استرالیا نیز به اولین کشوری تبدیل شد که شبکه‌های اجتماعی را برای افراد زیر ۱۶ سال به‌طور کامل ممنوع کرد و شرکت‌هایی نظیر متا، تیک‌تاک و اسنپ‌چت از آن تبعیت کردند. پس از این ممنوعیت، وب‌سایت‌های بزرگسالان نیز کاربران تأییدنشده‌ی استرالیایی را به طور کامل مسدود کردند.

اجرای قوانین محدودیت سنی با مقاومت برخی از شرکت‌های فناوری مواجه شده است که استدلال می‌کنند اعمال محدودیت‌های سنی مشکلات عملی و چالش‌های حریم خصوصی به همراه دارد. پلتفرم دیسکورد پس از اعلام تنظیمات «نوجوان به‌طور پیش‌فرض» که تمام بزرگسالان را ملزم می‌کرد سن خود را از طریق تشخیص چهره یا مدارک دولتی تأیید کنند، به کانون جنجال‌ها تبدیل شد.

کارشناسان امنیتی هشدار دادند که این اقدام در حال ایجاد تله‌‌های هویتی متمرکز است که اهدافی طلایی و به‌شدت آسیب‌پذیر برای حملات سایبری محسوب می‌شوند؛ هشداری که در نهایت دیسکورد را مجبور کرد عرضه‌ی جهانی این ویژگی را به تعویق بیندازد. تاکنون ۴۰۵ پژوهشگر امنیتی با امضای یک نامه‌ی سرگشاده هشدار داده‌اند که این قوانین باعث کاهش حریم خصوصی و افزایش خطرات نظارتی می‌شوند. پیش‌تر نیز تحقیقات نشان داده بود که قوانین تأیید سن، میلیون‌ها کاربر را به سمت استفاده از VPN-های رایگان و ناامن سوق می‌دهد.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.