Europejska aplikacja #AgeVerification jest technicznie gotowa. Przestrzega najwyższych standardów prywatności na świecie. Jest open-source, więc każdy może sprawdzić kod...”
Zrobiłem to. Nie trwało długo, zanim znalazłem to, co wygląda na poważny problem z #prywatnością.
Aplikacja bardzo się stara chronić dane AV PO ich zebraniu (is_over_18: true jest szyfrowane AES-GCM); robi to całkiem dobrze.
Ale źródłowy obraz używany do zebrania tych danych jest zapisywany na dysku bez szyfrowania i nie jest poprawnie usuwany.
Dla danych biometrycznych NFC:
Wyciąga DG2 i zapisuje bezstratny PNG do systemu plików. Jest usuwany tylko w przypadku sukcesu. Jeśli z jakiegokolwiek powodu się nie powiedzie (użytkownik klika wstecz, skanowanie nie udaje się i ponawia, aplikacja się zawiesza itp.), pełny obraz biometryczny pozostaje na urządzeniu w pamięci podręcznej. Jest chroniony kluczami CE na poziomie Androida, ale aplikacja nie podejmuje żadnej próby szyfrowania/ochrony ich.
Dla zdjęć selfie:
Inny scenariusz. Te obrazy są zapisywane na zewnętrznym nośniku w formacie bezstratnego PNG, ale nigdy nie są usuwane. To nie pamięć podręczna... długoterminowe przechowywanie. Są chronione kluczami DE na poziomie Androida, ale znowu aplikacja nie podejmuje żadnej próby szyfrowania/ochrony ich.
To przypomina zrobienie zdjęcia paszportu/dowodu tożsamości za pomocą aplikacji aparatu i zachowanie go na wszelki wypadek. Możesz szyfrować dane pobrane z niego do usranej śmierci... pozostawienie oryginalnego obrazu na dysku jest szalone i niepotrzebne.
Z punktu widzenia #GDPR:
Zebrane dane biometryczne to dane szczególnej kategorii. Jeśli nie ma podstawy prawnej do ich przechowywania po przetworzeniu, to potencjalnie poważne naruszenie.
#aplikacje #ciekawostki #internet
Źródło http://x.com/Paul_Reviews
Zrobiłem to. Nie trwało długo, zanim znalazłem to, co wygląda na poważny problem z #prywatnością.
Aplikacja bardzo się stara chronić dane AV PO ich zebraniu (is_over_18: true jest szyfrowane AES-GCM); robi to całkiem dobrze.
Ale źródłowy obraz używany do zebrania tych danych jest zapisywany na dysku bez szyfrowania i nie jest poprawnie usuwany.
Dla danych biometrycznych NFC:
Wyciąga DG2 i zapisuje bezstratny PNG do systemu plików. Jest usuwany tylko w przypadku sukcesu. Jeśli z jakiegokolwiek powodu się nie powiedzie (użytkownik klika wstecz, skanowanie nie udaje się i ponawia, aplikacja się zawiesza itp.), pełny obraz biometryczny pozostaje na urządzeniu w pamięci podręcznej. Jest chroniony kluczami CE na poziomie Androida, ale aplikacja nie podejmuje żadnej próby szyfrowania/ochrony ich.
Dla zdjęć selfie:
Inny scenariusz. Te obrazy są zapisywane na zewnętrznym nośniku w formacie bezstratnego PNG, ale nigdy nie są usuwane. To nie pamięć podręczna... długoterminowe przechowywanie. Są chronione kluczami DE na poziomie Androida, ale znowu aplikacja nie podejmuje żadnej próby szyfrowania/ochrony ich.
To przypomina zrobienie zdjęcia paszportu/dowodu tożsamości za pomocą aplikacji aparatu i zachowanie go na wszelki wypadek. Możesz szyfrować dane pobrane z niego do usranej śmierci... pozostawienie oryginalnego obrazu na dysku jest szalone i niepotrzebne.
Z punktu widzenia #GDPR:
Zebrane dane biometryczne to dane szczególnej kategorii. Jeśli nie ma podstawy prawnej do ich przechowywania po przetworzeniu, to potencjalnie poważne naruszenie.
#aplikacje #ciekawostki #internet
Źródło http://x.com/Paul_Reviews
CosTamCosTam
3
Przedstawione powyżej rozważanie niesie wiele konsekwencji, ale nie zakładało jeszcze złej woli. Natomiast jak społeczeństwo tresuje się kontrolując każdy aspekt życia, zdejmuje z nich się odpowiedzialność, przesuwa granicę jak głęboko można ingerować w nasze życie i swobody, to wcześniej czy później pojawi się pomysł, żeby umocnić swoją władzę nad obywatelami jeszcze bardziej. Monteskiusz wymyślił trójpodział władzy, żeby jakoś kontrolować ten mechanizm ... niestety, W Europie trójpodział władzy to wydmuszka. Prawie każdy system polityczny na naszym kontynencie zakłada miraż władzy wykonawczej z ustawodawczą.
Mógł bym tu pisać pewnie calą książkę na ten temat ... natomiast efekty tegoi, że z całą stanowczościa obywatele nie sprzeciwiają się takim zapędom już widzicie ... śmiejemy się z Chin, z systemu kontroli społecznej, cenzury itp. , ale de facto to ukryty system już u nas działa, a przesuwa się granicę tzw. okno Overtona, żeby wprowadzić kontrolę każdego aspektu naszego życia. Mamy już DSA ( żeby walczyć z Rosyjską dezinformacją, w czasie wyborów na Słowacji zmuszano podmioty do shadowbanowania wyszikiwań z frazami "są tylko dwie płcie" itp. ), chat controll jakimś cudem nie przeszedł ... ale jak to w dupokracji, już jest kolejny prawie taki sam projekt złożony ( Pamiętacie ? Jak demokracja nie przyjęła się w Irlandii [ Traktat Lizboński odrzucili w referendum ], to włożono kupę kasy w reklamy i za rok już demokracja triumfowała ... ) i plany są daleko idące ...
Jako społeczeństwo powinniśmu z zasady stanowczo odrzucać takie pomysły ... niestety jesteśmy zbyt zajęci rzeczami błachymi ... Następstwem będzie, że za 30 lat obudzę się w swoim kraju, który przypomina Kolonialną Afrykę w XIX wieku ...
FiligranowyGucio
1
b3loza
Wpis został usunięty przez autora
FiligranowyGucio
0
CosTamCosTam
0
Warto zastanowić się czemu w ogóle w Europie powstała demokracja ( geneza jej w innych krajach jest inna, co niesie też inną skuteczność i wolność obywateli ). Normalnie, za czasów monarchii co jakiś czas wybuchały powstania, jacyś szlachcice zostali zaszlachtowani ... W mniemaniu warstw posiadających było niebezpiecznie, a Rewolucja Francuska pokazała, że w skrajnych wypadkach zbuntowany lud jest nie do zatrzymania. Obserwując powstającą demokrację m.in. w USA, ktoś starszy i mądrzejszy pomyślał, że gdyby tak sprzedać bajkę o demokracji ludziom, powiedzieć, że to oni rządzą i mają wpływ to przecież nie było by się przeciw czemu buntować. Warstwy posiadające były by bezpieczne, dzięki swoim majątkom będą miały realny wpływ na prawodawstwo, zasadniczo będą bezkarni itp. itd. , a lud coś tam dostanie ( fakt, lepsze życie niż w czasach monarchii ), ale de facto dalej będą chłopami pańszczyźnianymi, a Ci bardziej bystsi, będą miel szansę na drobny awans. System się zamykał, ludzie z niebieską krwią byli bezpieczni, mogli dalej robić co chcą, a lud spokojny. Jak przyjrzymy się na % najbogatszych i ich fortuny, to stosunek jest prawie idealny jak za czasów feudalnych.
W ostatnim czasie jednak, widzę straszny nacisk na większe wyciskanie chłopów pańszczyźnianych w Europie ... Zwyczajnie Europa straciła przewagi komparatywne, włości najbogatszych Europejczyków są zagrożone ubóstwem i trzeba niestety podnieść rentowność. Czyni się to wiadomym kosztem. Natomiast zdając sobie sprawę z tego, że to może przynieść bunt ... trzeba wzmocnić środki bezpieczeństwa ... I to właśnie widzimy.
Teraz, żeby ktoś nie pomyślał, że jestem socjalistą, bo teorię, które przedstawiłem można porównać do Marksa...Nie, nie jestem, wierzę we własność prywatną, wierzę w kapitalizm ( definicja w dzisiejszych czasach jest trochę przekręcona [ oraz otoczenie nie jest liberalne w pierwotnym tego słowa znaczeniu ], bo ministerstwo prawdy działa ... ), wierzę także w demokrację ... ale bezpośrednią. Wierzę też w wiele innych rzeczy, a przede wszystkim, że świat można zmienić .... choć im starszy jestem, tym nadziei mam coraz mniej.
FiligranowyGucio
0
CosTamCosTam
1
FiligranowyGucio
0
CosTamCosTam
0
diego
2
W sensie X, facebook , być może heh windows. Też słyszałem, że systemd już pracuje nad tym.
CZy ten świat zwiariował?
Co w takim razie z usuługami ukrytymi? Nostr, mastadon, tor , i2p. Bo rozumiem, że to wszytko do tego zmierza.
Czy aby korzystać z netu będzie trzeba od razu włączać vpn.
http://github.com/systemd/systemd/pull/40978
http://github.com/r4shsec/systemd-no-age-verification
http://nosystemd.org/
ps. Ja czekam na nerdów z całego świata, którzy będą w stanie zrobić pożądną sieć p2p z reputacją nie do podrobienia. Stworzoną przez ludzi dla ludzi. Być może to moja utopia. Od czegoś trzeba zacząć. Zachęcam do działania, ponieważ to co się dzieje to okrawa o absurd. A temat w tak naprawdę jest o wiele głębszy. Spójźcie na dotychczasowy internet. Z mojej perspektywy to jeden wielki śmietnik. Napędzany algorytmami wielkich korporacji. Przez to monopizacja usug zrobiła się tak wielka, że wchodzimy na jedynie 10-15 stron gdzie w większości informacje są przemielone, zwielokrotnione, tak aby nas czytelników zatrzymać na jak najwiekszy czas. Moim zdaniem pierwotny cel był zupełnie inny.
Także zachęcam wszystkich nerdów, maniaków komputerowych do wziecia spraw w swoje ręce. Tym bardziej, że już są naciski by ogrniczyć wolność jaką jeszcze mamy jeśli chodzi o opensource. A w tym kierunku już zostały podjete działania ku. korporacyjnych (github) przejęty przez M$.
dodge_durango
0
@diego, hola hola, ma pan licencję na ten VPN? Jak w ogóle pan zainstalował nielicencjonowanego VPNa? Czy przypadkiem ma pan nielicencjonowany system który nie weryfikuje tożsamości europejskiej?
FiligranowyGucio
1
Hakowanie aplikacji #EU #AgeVerification w mniej niż 2 minuty.
Podczas konfiguracji aplikacja prosi o utworzenie kodu PIN. Po wprowadzeniu aplikacja szyfruje go i zapisuje w katalogu shared_prefs.
1. W ogóle nie powinien być szyfrowany – to naprawdę słaby projekt.
2. Nie jest kryptograficznie powiązany ze skarbcem, który zawiera dane tożsamości.
Dlatego atakujący może po prostu usunąć wartości PinEnc/PinIV z pliku shared_prefs i zrestartować aplikację.
Po wybraniu innego kodu PIN aplikacja prezentuje poświadczenia utworzone pod starym profilem i pozwala atakującemu przedstawić je jako ważne.
Inne problemy:
1. Ograniczenie tempa to rosnący numer w tym samym pliku konfiguracyjnym. Wystarczy zresetować go do 0 i dalej próbować.
2. „UseBiometricAuth” to wartość logiczna, również w tym samym pliku. Ustaw ją na false, a krok ten zostanie po prostu pominięty.
Poważnie
@vonderleyen
– ten produkt będzie katalizatorem ogromnej luki w bezpieczeństwie w pewnym momencie. To tylko kwestia czasu.
FiligranowyGucio
2