Europejska aplikacja #AgeVerification jest technicznie gotowa. Przestrzega najwyższych standardów prywatności na świecie. Jest open-source, więc każdy może sprawdzić kod...”
Zrobiłem to. Nie trwało długo, zanim znalazłem to, co wygląda na poważny problem z #prywatnością.
Aplikacja bardzo się stara chronić dane AV PO ich zebraniu (is_over_18: true jest szyfrowane AES-GCM); robi to całkiem dobrze.
Ale źródłowy obraz używany do zebrania tych danych jest zapisywany na dysku bez szyfrowania i nie jest poprawnie usuwany.
Dla danych biometrycznych NFC:
Wyciąga DG2 i zapisuje bezstratny PNG do systemu plików. Jest usuwany tylko w przypadku sukcesu. Jeśli z jakiegokolwiek powodu się nie powiedzie (użytkownik klika wstecz, skanowanie nie udaje się i ponawia, aplikacja się zawiesza itp.), pełny obraz biometryczny pozostaje na urządzeniu w pamięci podręcznej. Jest chroniony kluczami CE na poziomie Androida, ale aplikacja nie podejmuje żadnej próby szyfrowania/ochrony ich.
Dla zdjęć selfie:
Inny scenariusz. Te obrazy są zapisywane na zewnętrznym nośniku w formacie bezstratnego PNG, ale nigdy nie są usuwane. To nie pamięć podręczna... długoterminowe przechowywanie. Są chronione kluczami DE na poziomie Androida, ale znowu aplikacja nie podejmuje żadnej próby szyfrowania/ochrony ich.
To przypomina zrobienie zdjęcia paszportu/dowodu tożsamości za pomocą aplikacji aparatu i zachowanie go na wszelki wypadek. Możesz szyfrować dane pobrane z niego do usranej śmierci... pozostawienie oryginalnego obrazu na dysku jest szalone i niepotrzebne.
Z punktu widzenia #GDPR:
Zebrane dane biometryczne to dane szczególnej kategorii. Jeśli nie ma podstawy prawnej do ich przechowywania po przetworzeniu, to potencjalnie poważne naruszenie.
#aplikacje #ciekawostki #internet
Źródło http://x.com/Paul_Reviews
Zrobiłem to. Nie trwało długo, zanim znalazłem to, co wygląda na poważny problem z #prywatnością.
Aplikacja bardzo się stara chronić dane AV PO ich zebraniu (is_over_18: true jest szyfrowane AES-GCM); robi to całkiem dobrze.
Ale źródłowy obraz używany do zebrania tych danych jest zapisywany na dysku bez szyfrowania i nie jest poprawnie usuwany.
Dla danych biometrycznych NFC:
Wyciąga DG2 i zapisuje bezstratny PNG do systemu plików. Jest usuwany tylko w przypadku sukcesu. Jeśli z jakiegokolwiek powodu się nie powiedzie (użytkownik klika wstecz, skanowanie nie udaje się i ponawia, aplikacja się zawiesza itp.), pełny obraz biometryczny pozostaje na urządzeniu w pamięci podręcznej. Jest chroniony kluczami CE na poziomie Androida, ale aplikacja nie podejmuje żadnej próby szyfrowania/ochrony ich.
Dla zdjęć selfie:
Inny scenariusz. Te obrazy są zapisywane na zewnętrznym nośniku w formacie bezstratnego PNG, ale nigdy nie są usuwane. To nie pamięć podręczna... długoterminowe przechowywanie. Są chronione kluczami DE na poziomie Androida, ale znowu aplikacja nie podejmuje żadnej próby szyfrowania/ochrony ich.
To przypomina zrobienie zdjęcia paszportu/dowodu tożsamości za pomocą aplikacji aparatu i zachowanie go na wszelki wypadek. Możesz szyfrować dane pobrane z niego do usranej śmierci... pozostawienie oryginalnego obrazu na dysku jest szalone i niepotrzebne.
Z punktu widzenia #GDPR:
Zebrane dane biometryczne to dane szczególnej kategorii. Jeśli nie ma podstawy prawnej do ich przechowywania po przetworzeniu, to potencjalnie poważne naruszenie.
#aplikacje #ciekawostki #internet
Źródło http://x.com/Paul_Reviews
