17 апреля 2026, 19:32
Программа ЕС для проверки возраста пользователя «можно взломать за пару минут»
Флагманский проект Европейского союза, призванный дать гражданам функция подтверждать свой возраст в интернете без раскрытия личных данных, подвергся жёсткой критике всего через некоторое количество дней после официального запуска. Причиной стали заявления исследователя в области компьютерной безопасности, который обошёл основные меры защиты приложения менее чем за две минуты.
Программа, которое президент Европейской комиссии Урсула фон дер Ляйен рекламировала как «технически готовое» и созданное согласно «высшими стандартами конфиденциальности», должно было стать панацеей для новых строгих законов ЕС о безопасности в интернете. Вместо этого тщательный анализ его открытого исходного кода — функции прозрачности, которой хвастался ЕС, — выявил то, что эксперты называют фундаментальными архитектурными недостатками, превращающими инструмент в потенциальный канал для мошенничества с личными данными.
Консультант по безопасности Пол Мур подробно описал способ обхода защиты в серии постов на X (ранее Twitter), отметив уязвимость настолько элементарную, что она граничит с фарсом. Согласно заявлению Мура, приложение шифрует PIN-код пользователя и хранит его локально. Тем не менее критическая ошибка заключается в том, что это шифрование не привязано к реальному хранилищу идентификационных данных пользователя. Эта оплошность даёт возможность любому, у кого есть доступ к файловой системе устройства — или вредоносному ПО, маскирующемуся под программу для очистки файлов, — просто удалить значения PIN-кода, перезапустить приложение, установить новый исходник и без проблем вернуться в ранее подтверждённую учётную запись.
«Серьёзно, фон дер Ляйен — этот продукт рано или поздно станет причиной масштабной утечки данных. Это лишь вопрос времени», — предупредил Мур.
Проблема тут посерьёзнее, чем просто забытый пароль для сброса. Мур продемонстрировал, что настройки защиты приложения от атак методом перебора хранятся в тех же редактируемых конфигурационных файлах в виде обычного текста. Если злоумышленник заблокирован после слишком большого количества неправильных попыток ввода PIN-кода, он может найти счётчик, сбросить его и пробовать снова — до бесконечности. Хуже того, переключатель биометрической безопасности — требовать ли отпечаток пальца или сканирование лица — управляется одним булевым флагом. Смена значения с «true» на «false» даёт приложению команду целиком пропустить биометрическую проверку, полагаясь исключительно на уязвимый PIN-код.
Основатель Telegram Павел Дуров, которому не привыкать к конфликтам с регулирующими органами в Европе, сразу же отреагировал на инцидент в сообщении своим подписчикам. Дуров высказал мнение, что эта уязвимость может быть не просто результатом некомпетентности, а предсказуемым шагом в контексте регуляторной «тактики выжидания». «Их приложение для проверки возраста было уязвимо для взлома по самой своей конструкции — оно доверяло устройству», — написал Дуров. «Сначала выдайте приложение, „уважающее конфиденциальность“, но уязвимое для взлома. Потом дождитесь, пока его взломают. Потом удалите из него конфиденциальность, чтобы „исправить“ приложение. И вы получите средство для слежки под видом уважающего конфиденциальность приложения».
Этот скандал подчёркивает, по какому тонкому льду ходят европейские регуляторы. Прототип, запущенный без лишнего шума в июле 2025 года, появился в то время, когда страны по всему миру ужесточают меры по ограничению доступа несовершеннолетних к социальным сетям и контенту для взрослых. Однако технические проблемы приводят к тому, что какими бы благими ни были намерения законодателей, их усилия в итоге создают новые уязвимости. Вопреки то, что фон дер Ляйен подчеркнула, что публичный исходный исходник приложения является гарантией доверия, именно эта прозрачность позволила Муру выявить огромные дыры в системе до того, как она была внедрена для использования миллионами европейцев.
Читают сейчас

1 час назад
Unicode представила восемь новых эмодзи
Unicode утвердил стандарт Emoji 18.0. Восемь новых эмодзи начнут появляться на устройствах после обновления ОС весной 2027 года. Читать далее
2 часа назад
200-долларовую майнинговую карту CMP 170HX удалось превратить в подобие Tesla A100
В эпоху «бума майнинга», глядя на то, как любое железо, способное добывать криптовалюты, моментально сметается с прилавков, корпорация NVIDIA приняла решение выпустить на рынок чипы, не прошедшие полн

2 часа назад
Карьерные советы от экс-сотрудника OpenAI и Google DeepMind в эпоху ИИ
Бывший исследователь OpenAI и софтверный инженер в Google DeepMind и Scale AI Фил Чен, основатель собственного ИИ-стартапа, поделился карьерными советами в эпоху ИИ. Читать далее
4 часа назад
Кампания HelloNet использует систему обновления ViPNet для закрепления и загрузки вредоносных модулей
Специалисты «Лаборатории Касперского» выявили кампанию HelloNet. В ней злоумышленники используют новые вредоносные модули и систему обновления ViPNet. Атака началась не позднее мая 2026 года и продолж

5 часов назад
«Уэбб» разглядел странную атмосферу на адской планете, покрытой лавой
С помощью космического телескопа НАСА имени Джеймса Уэбба учёные исследовали «суперземлю» 55 Cancri e (55 Cnc e) — обладающую экстремальными условиями каменную экзопланету, расположенную на расстоянии