☝🏻Павел Дуров назвал власти Евросоюза клоунами 🔻Контекст: Еврокомиссия больше года разрабатывала «уважающее приватность» приложение Age Verification, которое должно было стать частью плана по обязательной идентификации всех пользователей соцсетей и блокировке доступа для лиц младше 18 лет. 15 апреля Урсула фон дер Ляйен торжественно представила его публике, назвав «технически готовым» и соответствующим «высочайшим стандартам приватности», а открытый исходный код подавался как главный признак прозрачности. 🎭 ☝🏻☝🏻Эта самая открытость и сыграла злую шутку — британский security-консультант Paul Moore опубликовал в социальной сети «X» видеоролик, где обходит защиту приложения меньше чем за две минуты, просто редактируя обычный конфиг-файл на Android. 📱 ☝🏻☝🏻Суть провала в архитектуре: при установке приложение просит пользователя создать шестизначный PIN, шифрует его и складывает в директорию shared prefs, но этот PIN криптографически никак не связан с хранилищем идентификационных данных (identity vault), где лежат реальные верификационные учётки. Достаточно удалить значения PinEnc и PinIV из shared_prefs, перезапустить приложение, задать новый PIN — и получаешь доступ к учёткам, созданным под прежним профилем. 🔓 Rate limiting, который должен защищать от перебора, оказался обычным счётчиком в том же редактируемом файле — сбрасывается в ноль одним движением. Биометрию можно отключить переключением одного флага, чувствительные данные лежат в редактируемых файла, а в отдельном эксперименте Moore вообще воссоздал логику приложения в виде браузерного расширения и генерировал фейковые ответы, которые площадки принимали как валидное подтверждение возраста. 🧪 Ранее 405 исследователей безопасности подписали открытое письмо ещё до релиза, предупреждая, что подобные законы снижают приватность и увеличивают риски слежки. 🔻Дуров в своём канале предложил трёхступенчатый сценарий дальнейшего развития событий: ▫️шаг 1 — показать публике «уважающее приватность», но дырявое приложение, ▫️шаг 2 — быть взломанным (мы сейчас здесь), ▫️шаг 3 — убрать приватность, чтобы «починить» систему. На выходе — инструмент слежки, продаваемый под видом защиты детей, с возможностью позже расширить инфраструктуру верификации возраста до проверки статуса занятости, криминальной истории или миграционного статуса — для этого уже не нужна техническая перестройка, только политическое решение. «Если только ЕС не управляют клоуны»🤡 За нарушение новых правил площадкам грозят штрафы до 6% годового глобального оборота, так что внедрение пойдёт быстро, независимо от того, починят архитектурные дыры или нет. ================ 👁 Если у вас плохо прогружаются файлы, всё также доступно в канале в MAX: 👁 News | 👁 Soft | 👁 Hacker