تطبيق التحقق من العمر الأوروبي يُخترق في أقل من دقيقتين بمحرر نصوص بسيط

أعلنت المفوضية الأوروبية، في الخامس عشر من أبريل، عن تطبيق التحقق الرقمي من العمر الذي وصفته رئيستها أورسولا فون دير لاين بأنه يمتلك "أعلى معايير الخصوصية في العالم" ويُشكّل أداةً لا عذر للمنصات بعدها في التهاون بحماية الأطفال، غير أن مستشار الأمن السيبراني البريطاني بول مور أثبت في اليوم التالي أنه تجاوز نظام المصادقة بأكمله في أقل من دقيقتين، مستخدماً محرر ملفات نصوص بسيطاً لا أكثر.

أبرز ما كشفه بول مور حول اختراق التطبيق:

• تجاوز كامل لنظام المصادقة بحذف قيمتين وإعادة تشغيل التطبيق.
• إعادة ضبط عداد الحماية من القوة الغاشمة بتغيير رقم واحد في ملف الإعدادات.
• تعطيل المصادقة البيومترية بالكامل بتحويل قيمة منطقية من "true" إلى "false".
• استنساخ منطق توليد بيانات الاعتماد عبر إضافة متصفح لإنتاج شهادات عمر مزيفة تقبلها المنصات.
• الثغرة المعمارية المكتشفة في مارس تؤكد أن النظام لا يستطيع التحقق مما إذا كان فحص جواز السفر قد جرى فعلياً على جهاز المستخدم.

لماذا الاختراق بهذه البساطة؟

يُخزّن التطبيق قيم تشفير PIN وعداد الحماية من هجمات القوة الغاشمة وإعداد تفعيل المصادقة البيومترية كلها في ملف إعدادات واحد قابل للتعديل محلياً يُعرف بـ shared_prefs، وهو نظام تخزين XML على Android مقيّد بصلاحيات الملفات لا بالحماية التشفيرية، مما يعني أن أي جهاز مُخترق أو ذو وصول فيزيائي يكشف كل طبقات الأمان دفعةً واحدة، ويُخزَّن PIN المشفّر محلياً لكنه غير مرتبط تشفيرياً بالخزنة التي تحتوي بيانات اعتماد التحقق الفعلية، مما يعني أن حذف قيمتي PinEnc وPinIV وإعادة تشغيل التطبيق وإدخال رمز PIN جديد يمنح المهاجم وصولاً كاملاً ببيانات اعتماد الهوية الأصلية دون أي إنذار.

ذهب مور أبعد من ذلك إذ أعاد بناء منطق توليد بيانات الاعتماد عبر إضافة متصفح لإنتاج استجابات تحقق مزيفة، مما يعني أن الثغرة لا تستلزم أصلاً وصولاً فيزيائياً إلى الجهاز، وقد حذّر مور فون دير لاين علناً بأن هذا المنتج سيكون يوماً محفّز اختراق هائل، وعلّق مؤسس Telegram بافيل دوروف على الحادثة واصفاً التطبيق بأنه "قابل للاختراق بتصميم"، ومشيراً إلى أن خطأه الجوهري أنه يثق بشكل أعمى في جهاز المستخدم والمعلومات التي يُرسلها.

السياق الأشمل: بنية تحتية بخمسمئة مليون مستخدم مستقبلي

صرّحت المفوضية الأوروبية صراحةً بأن التطبيق مبني على المواصفات التقنية ذاتها لمحافظ الهوية الرقمية الأوروبية EUDI Wallet المقررة للطرح في جميع الدول الأعضاء بنهاية 2026، مما يعني أن الثغرات المكتشفة ليست في أداة حماية أطفال منفصلة، بل في بنية تحتية للهوية ستخدم مئات الملايين من المواطنين الأوروبيين، وكانت منظمة المدافعين الأوروبيين عن الحقوق الرقمية (EDRi) قد حذّرتا من مخاطر "الانجراف المهمي" والتوسع التدريجي للبنية التحتية للتحقق إلى ما هو أبعد من غرضها المُعلن، مشيرةً إلى أن فون دير لاين نفسها وصفت الشهادات الأوروبية لكوفيد بأنها النموذج الذي انتشر لاحقاً في 78 دولة.

سبق 438 باحثاً في مجال الأمن الإطلاقَ بتوقيع رسالة مفتوحة وصفوا فيها متطلبات التحقق من العمر بأنها "مستحيلة تقنياً من الناحية العملية وسهلة التحايل عليها وتُمثّل تهديداً خطيراً للخصوصية والأمن"، وحتى السابع عشر من أبريل، لم تُصدر المفوضية الأوروبية أي تصحيح أو ردٍّ رسمي على الثغرات المُبلَّغ عنها، فيما تواصل ست دول أعضاء تجريب التطبيق، ومن المفارقات التي أثارها المطورون على منصات التواصل: لماذا تنتهي صلاحية شهادة التحقق من العمر أصلاً؟ فالشخص الذي تجاوز الثامنة عشرة اليوم لن يصبح أصغر غداً، وللاطلاع على سياق انتشار برمجيات التجسس وثغرات التطبيقات التي تُشكّل المشهد ذاته، راجع تغطيتنا لـ واتساب يحذر مئات المستخدمين من نسخة مزيفة لبرامج تجسس إيطالية.

إقرأ المزيد عن: #الأمن_السيبراني #المفوضية_الأوروبية #الخصوصية #تطبيقات