4 月 20 日消息,据 Politico 报道,欧盟此前推出了一款用于在线核验年龄的手机应用程序,但网络安全专家在其代码中发现了明显的隐私与安全漏洞。
上周三,欧盟委员会主席乌尔苏拉 · 冯德莱恩在布鲁塞尔发布了这款年龄核验工具,称其“技术上已准备就绪”,随着各国逐步禁止儿童使用社交媒体,该应用很快将投入使用。
冯德莱恩表示:“它完全开源,所有人都可以查看代码。”
网络与隐私专家随即深入研究了 GitHub 软件平台上的源代码,并报告了该应用设计中存在的多处问题。
这一事件正演变为布鲁塞尔方面的一场公关灾难。而在代码争议的背后,隐私维权人士、儿童权益组织、科技企业与政界人士在如何保护未成年人网络安全的问题上,存在着更深层次的分歧,各国领导人纷纷承诺保护儿童远离社交媒体与色情网站。
安全顾问保罗 · 摩尔在社交平台 X 上发布的一篇广泛传播的帖子称,欧盟这款应用发布后数小时内,他就发现其会将敏感数据存储在用户手机中且未做任何保护。摩尔声称自己在不到两分钟内就破解了这款应用。
法国知名白帽黑客巴普蒂斯特 · 罗伯特证实了其中多项问题,并表示该应用的生物识别验证功能可以被轻易绕过,用户无需输入 PIN 码或使用触控 ID 即可进入应用。
法国数字身份专项工作组的密码学研究员奥利维耶 · 布拉齐称:“假设我下载了这款应用,验证自己年满 18 周岁,之后我的侄子就能拿起我的手机,解锁应用并用它证明自己也已满 18 岁。”
当地时间上周五,欧盟委员会仍坚持此前表态,称该应用技术上已准备就绪。首席发言人保拉 · 皮尼奥对记者表示:“是的,它已经就绪。或许我们可以补充一句,‘它始终还有优化空间’。”
数字事务发言人托马斯 · 雷尼耶称:“我们所说的最终版本,其实…… 仍属于演示版本。”他补充道,面向公众的最终产品尚未推出,“代码将持续更新优化…… 目前我无法排除或预判是否还需要进一步更新”。
当地时间上周四,欧盟委员会在给 Politico 的声明中称,黑客测试的是该应用较早的“演示版本”,该版本仅用于“测试与开发”,相关漏洞“已修复”。
但摩尔与布拉齐均表示,他们测试的是欧盟在线发布的最新版代码。
布拉齐表示:“他们将应用开源供专家测试是件好事。问题在于,发布的源代码并未达到我们对这类重要应用所期望的网络安全标准。我们此前就担心委员会会不顾安全问题仓促推出这款应用,如今看来,他们确实想推出一款技术上尚未成熟的产品。”布拉齐还称,“如此仓促上线,可能会损害公众对未来数字身份钱包的信任。”
比利时知名道德黑客英蒂 · 德 · 克勒克拉尔表示:“对于此类开源代码项目,在发布前同步公布安全评估报告会是明智之举,这样所有人都能权衡其利弊与风险。”
受政治层面加强未成年人网络保护的推动,欧盟及其多个成员国正陆续推行在线年龄核验措施。
当地时间上周四晚间,法国总统埃马纽埃尔 · 马克龙召集欧洲多国国家元首就该问题召开视频会议,冯德莱恩、意大利总理焦尔吉娅 · 梅洛尼、西班牙首相佩德罗 · 桑切斯、德国领导人弗里德里希 · 默茨等均参与了会议。
去年 12 月,澳大利亚成为全球首个对儿童使用社交媒体实施限制的国家,实质上禁止 16 岁以下未成年人使用 TikTok、YouTube 等热门平台。
2024 年年末,欧盟委员会就这款年龄核验应用发布了 400 万欧元(注:现汇率约合 3208.7 万元人民币)的招标项目,最终由瑞典数字身份企业 Scytáles 与德国电信中标。
该应用允许用户通过护照、国民身份证或银行等可信机构核验年龄。科技平台可向应用查询用户是否达到特定年龄,但无法获取更多个人数据,这一模式被称为“零知识证明”,旨在保护用户隐私。
各成员国政府也可自行开发同类应用,且不同应用可互联互通,实现欧盟范围内顺畅的年龄核验。
但年龄限制措施的批评者认为,兼具完善隐私与数据保护的年龄核验技术尚未成熟;即便技术达标,网民也能通过虚拟专用网络(VPN)隐藏位置等方式轻易绕过限制。
布拉齐曾与 400 余名隐私及安全专家联名,于今年 3 月向欧盟委员会致公开信,呼吁“暂停相关部署计划,直至学界就年龄核验技术的利弊与技术可行性达成科学共识”。
欧洲议会捷克海盗党议员、新版网络安全法案牵头立法者马尔凯塔 · 格雷戈罗娃表示:“这一进程正迫于政治压力仓促推进。”她认为,欧洲应对这款应用展开更细致审查,“核查是否已采取所有网络安全与隐私保护措施”。
德国知名中左翼议员比尔吉特 · 西佩尔在接受采访时,称这款应用是“半成品解决方案,未能达到欧盟自身的标准”。
