Tapo pajuokos objektu: leidžia ją „nulaužti“ greičiau, nei spėsite išsivirti kavos. ES kūrinys čia vėl „sužibėjo“ ()

2026-04-17

Programėlė leidžia naršyti po suaugusiems skirtas svetaines nerenkant jokių papildomų asmens duomenų.

ES vėliava
© Verdy p, -xfi-, Paddu, Nightstallion, Funakoshi, Jeltz, Dbenbenn, Zscout370 (Atvira licencija) | https://commons.wikimedia.org/wiki/File:Flag_of_Europe.svg

Prisijunk prie technologijos.lt komandos!

Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.

Europos Sąjungos ambicijos vienu smūgiu išspręsti nepilnamečių prieigos prie suaugusiems skirto turinio problemą virto tikru kibernetinio saugumo košmaru. Trečiadienį su dideliu trenksmu pristatyta speciali amžiaus patvirtinimo programėlė turėjo tapti neįveikiama siena vaikams, tačiau tapo pajuokos objektu: saugumo spragos leidžia ją „nulaužti“ greičiau, nei spėsite išsivirti kavos.

Idėja skambėjo gražiai ir moderniai: vartotojai patvirtina savo amžių naudodami asmens dokumentus vieną kartą, o vėliau programėlė leidžia naršyti po suaugusiems skirtas svetaines nerenkant jokių papildomų asmens duomenų. Privatumas, saugumas, ramybė tėvams. Tačiau, kaip praneša „Politico“, praėjus vos porai dienų nuo išleidimo, projektas skęsta skandale.

Saugumas – tik iliuzija?

Lengvos, universalios, su nusegamu mikrofonu, trys prijungimo būdai – geriausias kompiuterio ausinių pasiūlymas savo kainų kategorijoje? („White Shark Gorilla Pro" APŽVALGA)

1344

Jei ieškote nebrangių ir tiesiog gerai veikiančių ausinių savo kompiuteriui, nebūtina dairytis į pačius žinomiausius produktus. Mažesni gamintojai dažnai suderina aukšto lygio technines charakteristikas, modernų dizainą, ir gerą kainą - ką puikiai įrodo mūsų išbandytos „White Shark Gorilla Pro“ kompiuteriui skirtos ausinės.

Išsamiau

Britų kibernetinio saugumo ekspertas Paulas Moore’as viešai pademonstravo, kad ši „aukščiausio lygio“ apsauga yra skylėta kaip rėtis. Pasirodo, programėlės kūrėjai padarė pradedančiųjų klaidą – itin jautrius duomenis patikėjo saugoti pačiam įrenginiui, o ne saugiems serveriams.

P. Moore'as įrodė: norint apeiti sistemą, tereikia minimalių technologinių žinių ir maždaug dviejų minučių.

Kaip veikia šis „nulaužimas“?

Problemos šaknis – programėlės konfigūracijos failai. Tyrėjai nustatė, kad PIN kodo informacija saugoma lokaliai ir yra lengvai modifikuojama. Tai leidžia piktavaliui tiesiog „atstatyti“ programėlės saugumą:

ištrinamos tam tikros PIN reikšmės iš konfigūracijos failų;
programėlė paleidžiama iš naujo;
užpuolikas nustato naują PIN kodą, tačiau sistema vis tiek pripažįsta ankstesnio profilio prisijungimo duomenis kaip galiojančius.

Paprasčiau tariant – užraktas pakeičiamas, bet senas raktas vis tiek tinka.

„Brute-force“ atakos – be jokių kliūčių

Maža to, tyrėjai aptiko dar gėdingesnių klaidų. Įprastai programėlės blokuoja prieigą po kelių nesėkmingų bandymų įvesti kodą, tačiau ES kūrinys čia vėl „sužibėjo“. Bandymų skaitiklis yra paprastas kintamasis, kurį rankiniu būdu galima nustatyti į nulį.

Tai atveria kelius vadinamajai „brute-force“ (brutalios jėgos) atakai: automatinėms programoms leidžiama spėlioti PIN kodą neribotą kiekį kartų, kol galiausiai sistema pasiduoda.

Kol ES valdininkai žadėjo saugesnį internetą mūsų vaikams, programišiai trina rankomis – panašu, kad ši milijonus kainuojanti iniciatyva tapo dar vienu pavyzdžiu, kaip teorinis saugumas subyra susidūręs su realia praktika. Ar bus stabdomas programėlės naudojimas, kol kas nepranešama, tačiau reputacinė žala – milžiniška.

Pasidalinkite su draugais

Šaltiniai:

politico.com

Aut. teisės: MTPC

(1)

(0)

(1)

MTPC parengtą informaciją atgaminti visuomenės informavimo priemonėse bei interneto tinklalapiuose be raštiško VšĮ „Mokslo ir technologijų populiarinimo centras“ sutikimo draudžiama.

Komentarai ()