La Unió Europea ha posat en marxa una aplicació per verificar l'edat dels usuaris i limitar l'accés dels menors a determinats continguts, però l'eina ja ha quedat sota escrutini per possibles errors de privadesa i seguretat.
La mateixa documentació oficial de l'aplicació recull que organismes com la Policia, els serveis d'intel·ligència dels països membres o les oficines presidencials poden llegir i modificar dades personals dels usuaris. Aquest abast sobre la informació emmagatzemada ha obert dubtes sobre les garanties reals del sistema.
Dubtes sobre la privadesa de l'eina
La presidenta de la Comissió Europea, Ursula von der Leyen, va defensar públicament que l'aplicació "respecta els més alts estàndards de privadesa del món". Tanmateix, una anàlisi tècnica posterior ha qüestionat aquesta afirmació.
"L'aplicació europea de verificació d'edat està tècnicament a punt. Respecta els estàndards de privadesa més alts del món. És de codi obert, així que qualsevol pot revisar el codi. Jo ho vaig fer. No vaig trigar a trobar el que sembla un greu problema de privadesa." - Paul Moore, consultor de seguretat
El consultor de seguretat Paul Moore sosté que va detectar una vulnerabilitat rellevant en poc temps després de revisar el codi obert de l'eina. El seu examen apunta tant a l'emmagatzematge de dades sensibles com a la protecció de l'accés dels usuaris.
Accés al dispositiu i canvi del PIN
Moore va mostrar que l'aplicació pot ser vulnerada en menys de dos minuts si es disposa d'accés físic al dispositiu. El mètode descrit consisteix a editar l'arxiu de preferències compartides per eliminar els valors del PIN encriptat.
A més, l'encriptació presenta errors que, sempre segons aquesta anàlisi, permetrien a un atacant canviar el PIN d'un usuari i entrar en la seva informació personal. Es tracta d'un punt especialment sensible en tractar-se d'una aplicació destinada a gestionar dades d'identificació.
Selfies emmagatzemats sense límit temporal
Un altre dels aspectes assenyalats afecta el registre inicial. Les fotografies tipus selfie utilitzades per donar d'alta l'usuari queden emmagatzemades al disc de forma indefinida, sense que consti un esborrat automàtic després de completar la verificació.
La combinació entre aquest emmagatzematge prolongat, la capacitat de determinats organismes per accedir i modificar dades personals i les fallades detectades en la protecció del PIN situa l'aplicació en el centre del debat sobre la privadesa digital a la Unió Europea, en un moment en què el seu objectiu declarat és reforçar la protecció dels menors a internet.