Yeni tanıtılan Avrupa Birliği (AB) yaş doğrulama uygulaması, bir güvenlik araştırmacısının koruma sistemini 2 dakikadan kısa sürede aştığını iddia etmesiyle eleştiri oklarının hedefi oldu.
AB, Çarşamba günü kullanıcıların kişisel verilerini platformlara teslim etmeden internette yaşlarını kanıtlamalarına olanak tanıyan yeni bir uygulama tanıttı. Bu sistem, internet sitelerinin hassas bilgileri toplama ihtiyacını ortadan kaldırmak için tasarlandı.
Eleştiriler, Ursula von der Leyen‘in yeni uygulamayı “teknik olarak hazır” ve “en yüksek gizlilik standartlarıyla” uyumlu bularak övmesinden kısa bir süre sonra geldi. Leyen, uygulamanın açık kaynaklı yapısının önemli bir şeffaflık özelliği olduğunu vurguladı ancak bu şeffaflık biraz fazla iyi çalışmış olabilir; zira güvenlik uzmanları X üzerinden yeni kimlik uygulamasının güvenliğini sert bir dilde eleştirdi. Güvenlik danışmanı Paul Moore, sistemdeki temel tasarım kusurlarını detaylarıyla paylaştı.
“Ciddiyim Von der Leyen; bu ürün bir noktada devasa bir veri ihlaline yol açacak. Bu sadece bir zaman meselesi.” dedi. AB, yaş doğrulama uygulamasının prototipini Temmuz 2025’te başlatmıştı.
Güvenliğin Kolayca Aşılması
Moore‘a göre uygulama, şifrelenmiş bir PIN kodunu yerel olarak saklıyor fakat en kritik nokta, bu şifrelemenin hassas doğrulama verilerinin tutulduğu kimlik kasasıyla (identity vault) ilişkilendirilmemesi.
Bu durum, şaşırtıcı derecede basit bir yönteme kapı aralıyor. Uygulamanın yapılandırma dosyalarından PIN koduna bağlı değerleri silip uygulamayı yeniden başlatarak, saldırgan yeni bir kod belirleyebiliyor. Üstelik önceki profilde oluşturulan kimlik bilgilerine erişimi de koruyor.
Sonuç olarak uygulama, yeni tanımlanan bir erişim kontrolü altında eski kimlik verilerini kabul ediyor.
Kendi Kendini Sıfırlayan Güvenlik Kontrolleri
Moore ayrıca kaba kuvvet saldırılarını veya sistem atlatmayı kolaylaştıran diğer zayıflıklara da dikkat çekti.
PIN tahminini sınırlamak için kullanılan deneme sayacı (rate limiting), aynı düzenlenebilir yapılandırma dosyasında basit bir sayaç olarak tutuluyor. Bu değer sıfırlandığında sistem daha önce yapılan denemeleri unutuyor.
Biyometrik doğrulama ise tek bir değişkenle kontrol ediliyor. Değeri “true” yerine “false” olarak değiştirdiğinizde, uygulama biyometrik kontrolleri tamamen atlıyor.
Sadece Bir Hata Değil, Tasarım Problemi
İnternet üzerindeki pek çok geliştirici tasarımı sorguladı. Hassas kimlik doğrulama verilerinin son kullanıcılar tarafından doğrudan erişilebilir veya düzenlenebilir olmaması gerekiyor.
Modern akıllı telefonlarda bu özelliklerin bulunduğuna dikkat çeken bir geliştirici, “Neden güvenli bölge (secure enclave) kullanmadılar?” diye sordu.
Diğerleri ise bir kullanıcının yaşını kaç kez doğrulayabileceğine dair sınırlar ve doğrulama belgelerindeki son kullanma tarihleri gibi mantıksal sorunlara değindi. Bir başkası, “Yaş kanıtının neden bir son kullanma tarihi var? 18 yaşını geçtiğimde her zaman 18 yaş üstü kalacağım. Gençleşmiyorum ki!” diyerek durumu eleştirdi.
Uygulama Gözetlemeye Kapı mı Açıyor?
Tepkiler kısa sürede Telegram kurucusu ve CEO‘su Pavel Durov gibi yüksek profilli isimlere ulaştı. Durov, bu olayı basit bir teknik hatadan fazlası olarak nitelendirdi.
Kendi kanalında yaptığı paylaşımda, zayıflıkların tesadüf olmayabileceğini savundu. “Yaş doğrulama uygulamaları tasarımsal olarak hacklenebilir şekilde yapıldı çünkü cihaza güveniyordu.” yazan Durov, bunun güvenlik açısından anında oyunun sonu anlamına geldiğini belirtti.
Sürecin daha geniş bir amaca hizmet edebileceğini öne sürdü: Önce gizlilik dostu olarak pazarlanan bir sistem tanıtılıyor, ardından kaçınılmaz ihlaller gerçekleştikten sonra kontroller sıkılaştırılıyor.
“Gizliliğe saygılı görünen ama hacklenebilir bir uygulama sunun… hacklenmesini bekleyin… sonra uygulamayı düzeltmek için gizliliği kaldırın.” diyerek, nihai sonucun gizlilik maskesi altında satılan bir gözetleme aracı olacağını iddia etti. Ayrıca mevcut tartışmanın, veri toplama alanını genişletmek için siyasi bir kılıf sağlayabileceğini belirtti. “Bugünkü ‘şaşırtıcı hack’ onlara bu bahaneyi verdi.” iddiasında bulundu.
Telegram, zorunlu yaş doğrulama önlemlerine karşı çıkarak bu sistemlerin hassas verileri merkezileştirdiğini ve büyük ölçekli ihlal riskini artırdığını savunuyor. Temmuz 2025’te şirket, bir kullanıcının 18 yaşından büyük olup olmadığını belirlemek için yüz taraması yapan resmi bir doğrulama botu başlattı.
Durov daha önce İspanyol hükümetinin sosyal medya için yaş kısıtlaması getirme planlarına dair endişelerini dile getirmiş; bu düzenlemeyi “kamu gözetimine ve kitlesel veri toplamaya giden tehlikeli bir kapı” olarak adlandırmıştı. Sıra dışı bir hamleyle Durov, İspanya’daki tüm kullanıcılara mesaj göndererek Başbakan Pedro Sánchez‘in yasa teklifini eleştirdi. İspanya ise Durov‘u yalan yaymakla suçlayarak yanıt verdi.
Geçen yıl Telegram, Avustralya’da kendisine kesilen büyük bir cezaya itiraz etmek için dava açtı. Düzenleyiciler, platformun çocuk istismarı içerikleriyle nasıl mücadele ettiğini açıklamasını istemişti. Süreye uymadığı bildirilen şirkete 686.977 dolar para cezası verildi.
Yaş doğrulama sistemleri, bazı teknoloji şirketlerinin tepkisini çekiyor. Şirketler, bu tür uygulamaların pratikte zorluklar yarattığını ve gizlilik sorunlarını beraberinde getirdiğini savunuyor.
Discord, tüm yetişkinlerin yüz tanıma veya resmi kimlik ile yaş doğrulaması yapmasını gerektiren ayarları duyurduktan sonra bir tartışma odağı haline geldi. Güvenlik uzmanları, bu adımın siber saldırılara açık merkezi kimlik veri havuzları oluşturduğu konusunda uyardı ve platform küresel yayılımını ertelemek zorunda kaldı.
Toplamda 405 güvenlik araştırmacısı, söz konusu yasaların gizliliği azalttığı ve gözetleme riskini artırdığı konusunda bir açık mektup imzaladı.
Kaynak: https://cybernews.com/security/eu-age-verification-app-hack/
