مشقوق إلى نصفين: تطبيق حماية الأطفال في الاتحاد الأوروبي يكشف ثغرات أمنية صارخة

العنوان الفرعي: تم اختراق تطبيق «آمن» للتحقق من العمر في الاتحاد الأوروبي خلال دقائق، ما يثير أسئلة ملحّة حول سلامة الأطفال الرقمية.

كان من المفترض أن يكون درعًا رقميًا لأطفال أوروبا - تطبيقًا متطورًا يحافظ على سلامة القاصرين على الإنترنت عبر التحقق من أعمارهم. لكن خلال دقيقتين فقط من ظهوره العلني، تعرّض تطبيق التحقق من العمر الذي روّج له الاتحاد الأوروبي للاختراق، كاشفًا ليس مجرد هفوات تقنية، بل أزمة أعمق في الثقة بحماية الأطفال الرقمية.

حقائق سريعة

تمت السيطرة على تطبيق التحقق من العمر في الاتحاد الأوروبي خلال أقل من دقيقتين على يد محلل مستقل.
تؤكد المفوضية الأوروبية أن الاختراق استهدف نسخة تجريبية فقط، لا المنتج النهائي.
شملت الثغرات الحرجة ضعف أمان رقم التعريف الشخصي (PIN)، وإمكانية تجاوز فحوصات القياسات الحيوية، والتخزين غير الآمن للصور الحساسة.
أكثر من 70% من القاصرين في الاتحاد الأوروبي يستخدمون بانتظام خدمات رقمية تتطلب التحقق من العمر.
يحذر الخبراء من مخاطر أوسع على الخصوصية والأمن إذا وصلت مثل هذه العيوب إلى أنظمة الإنتاج.

أطلق جرس الإنذار محلل الأمن المستقل بول مور، الذي فكك آليات عمل التطبيق ووجد أن وسائل حمايته ليست أكثر من ورق رقيق رقمي. ووفقًا لمور، كان رقم التعريف الشخصي (PIN) - المفترض أن يحمي هوية المستخدم المُتحقق منها - مخزنًا بطريقة تجعل من السهل على المهاجمين إعادة تعيينه وإعادة استخدامه، متجاوزين بالكامل إجراءات الأمان المقصودة. والأسوأ أن الـPIN لم يكن مرتبطًا تشفيريًا بخزنة هوية المستخدم الفعلية، ما يعني أن حذف بضعة أسطر في ملف إعدادات قد يتيح لأي شخص الخروج ببيانات اعتماد مُتحقق منها تخص شخصًا آخر.

لكن المتاعب لم تتوقف عند هذا الحد. كشف مور أن دفاع التطبيق ضد محاولات تخمين الـPIN بالقوة الغاشمة لم يكن سوى عدّاد بسيط في ملف نصي، يمكن لأي شخص لديه الحد الأدنى من المعرفة التقنية إعادة ضبطه بسهولة. وحتى المصادقة البيومترية - الوجه أو بصمة الإصبع - لم تكن سوى مفتاح تشغيل/إيقاف في الملف نفسه. إيقافها يعني وصولًا فوريًا دون الحاجة إلى أي مسح.

وربما كان الأكثر إثارة للقلق هو سوء التعامل مع الصور الحساسة. فعندما كان التطبيق يقرأ وجه المستخدم عبر NFC من وثيقة إلكترونية، كان يخزن الصورة بصيغة PNG غير فاقدة على الجهاز. وإذا حدث أي خلل أثناء العملية، قد تُترك الصورة خلفًا دون تشفير ومعرّضة للخطر. أما صور السيلفي المستخدمة للتحقق فكانت أقل حماية، إذ كانت تُحفظ أحيانًا خارج التخزين الآمن للتطبيق ولا تُحذف مطلقًا. وبالنسبة لنظام بُني لحماية خصوصية الأطفال، قد تكون لهذه الهفوات عواقب وخيمة.

وردّت المفوضية الأوروبية بسرعة، مؤكدة أن الثغرات الفاضحة كانت محصورة في نسخة تجريبية سابقة وقد تم إصلاحها منذ ذلك الحين. وقال متحدث باسمها: «لقد كنا قد حددنا تلك الثغرة»، مشددًا على أن النسخة النهائية المقدمة للجمهور كانت آمنة. كما أشارت المفوضية إلى تقنيات متقدمة لحفظ الخصوصية، بما في ذلك براهين عدم المعرفة، كدليل على التزامها بحماية هويات المستخدمين.

ومع ذلك، تثير الحادثة أسئلة مقلقة حول صرامة اختبارات الأمان في مبادرات حماية الأطفال الرقمية - وما إذا كان يمكن استعادة ثقة الجمهور بعد أن تم خرقها بهذه السرعة. ومع دخول المزيد من الأطفال إلى الإنترنت واعتماد الحكومات على التكنولوجيا كحلول، قد تكون كلفة حتى أصغر هفوة كارثية.

في نهاية المطاف، تُعدّ قصة تطبيق التحقق من العمر في الاتحاد الأوروبي حكاية تحذيرية: ففي سباق حماية الفئات الأضعف، قد يؤدي التهاون في الأمن السيبراني إلى ترك الجميع مكشوفين. الاختبار الحقيقي ليس مدى سرعة الإطلاق، بل مدى جودة الدفاع عمّا يهم أكثر.

ويكيكروك

PIN: رقم التعريف الشخصي هو رمز رقمي يُستخدم للتحقق من هوية المستخدم وتأمين الوصول إلى الحسابات أو الأجهزة أو الخدمات الرقمية.
التشفير: التشفير هو ممارسة ترميز المعلومات إلى شيفرات سرية، لحماية البيانات من الوصول غير المصرح به وضمان تواصل آمن.
المصادقة البيومترية: تتحقق المصادقة البيومترية من الهوية باستخدام سمات جسدية فريدة مثل بصمات الأصابع أو التعرف على الوجه، موفرة وصولًا آمنًا ومريحًا إلى الأجهزة والحسابات.
القوة الغاشمة: هجوم القوة الغاشمة هو أسلوب اختراق آلي يحاول فيه المهاجمون العديد من كلمات المرور أو المفاتيح حتى يعثروا على الصحيح للحصول على وصول غير مصرح به.
الصفر: ثغرة يوم الصفر هي خلل أمني خفي غير معروف لصانع البرمجيات، ولا يتوفر له إصلاح، ما يجعله عالي القيمة وخطيرًا على المهاجمين.