Tecnología, Internet y juegos
211 meneos
1132 clics
Este envío tiene varios votos negativos. Asegúrate antes de menear
Pillan a la app de verificación de edad de la UE proporcionando a la Policía todos los datos personales que almacena

Pillan a la app de verificación de edad de la UE proporcionando a la Policía todos los datos personales que almacena

Europa anunció durante el día de ayer una nueva aplicación con la que proteger a los menores de edad del contenido que se publica diariamente en Internet. Pese a que en el momento de la presentación uno de los aspectos que se destacó fueron las garantías de privacidad, apenas 24 horas después han desmontado por completo este argumento. Una situación que ha levantado todo tipo de críticas que deja en muy mal lugar al trabajo realizado por el organismo europeo.

| etiquetas: app , verificación , edad , ue , policía , datos , personales
104 107 56 K 8
36 comentarios
104 107 56 K 8
Comentarios destacados:          
angelitoMagno #1 angelitoMagno *
Ojo, que si te cogen el móvil podrían acceder a tus datos.

Y lo de que proporciona todos los datos a la policía, el señor tuitero lo dice en base a que hay una variable clientSecret.
Ya está, como esa variable existe, pues la policía te puede leer todos tus datos, queda demostrado.

Bueno, al menos se puede ver que la app es de código abierto.

Añado: Ah, y no han pillado a la app enviando datos a la policía, como afirma el titular.
26 K 200
#6 alhambre
#1 la brecha de privacidad existe, pero el titular y algo del contenido es sensacionalista. Así voto.
1 K 14
Ovlak #9 Ovlak
#6 El titular es un bulo. Nadie ha "pillado" a la app proporcionando todos los datos a la policía. La afirmación se basa en un tweet que "bromea" con esa posibilidad porque en la documentación se explica como utilizar el SDK contra servicios web con un certificado autofirmado (algo muy habitual en entornos de desarrollo), pero nadie ha demostrado que esto es algo que haga la app.
ageverification.dev/av-app-ios-wallet-ui/wiki/configuration/#how-to-wo
12 K 103
Capitan_Centollo #25 Capitan_Centollo
#1 #6 Sí, el artículo, en principio, es alarmista. El problema es de diseño, al elegir un flujo de autenticación inseguro para ese contexto. Sin embargo, si el client secret está accesible al usuario o al dispositivo, es una vulnerabilidad que puede llegar a ser explotada de forma maliciosa.
0 K 7
#23 Setis *
#1 > el señor tuitero lo dice en base a que hay una variable clientSecret
Será que llevo escribiendo código de este tipo más tiempo del que debería. Pero, clientId y clientSecret van juntos en OAuth 2.0 en el protocolo client_credentials.

O dicho de otra manera: hay una barbaridad de código ahí fuera donde una máquina conecta a otra via OAuth 2.0, y todo ese código tiene variables clientSecret.

Sería como decir que hay un gran peligro porque el principal componente de los cócteles molotov lo venden por ahí, en unos sitios llamados gasolineras.
9 K 92
Capitan_Centollo #24 Capitan_Centollo *
#23 En el flujo client credentials, sí, pero en el caso de aplicaciones móviles se usa el flujo device authorization code, que, al igual que el authorization code con PKCE, no requiere usar el client secret.

El flujo Client Credentials sólo debe usarse entre máquinas sin acceso de usuarios, donde los secretos no son accesibles al usuario final ni a su dispositivo.
1 K 14
#26 Setis
#24 Correcto. ¿Pero tú crees que han implementado adecuadamente esa aplicación?

Hace no mucho tuve una conversación con un equipo de desarrollo en la que me faltó nada para mandarles a la mierda, porque tenían que implementar el flujo interactivo y no hacían más que pedirnos el clientSecret, y no había palabras que pudiera decirles para hacerles entender que no hay client secret en ese flujo.

Supuestamente era el equipo "de élite" de un proveedor.
0 K 7
#28 Setis
#27 Véase #26
0 K 7
siempreesverano #27 siempreesverano
#23 No sé dónde lo alojan, pero si está en el lado cliente poco secreto será.
0 K 9
BuckMulligan #36 BuckMulligan
#1 y no solo eso, leen las shared preferences! Que aon privadas a la app. No solo tiene que acceder al terminal, también rootearlo.
1 K 23
oLiMoN63 #2 oLiMoN63
Una de las buenas cosas que todavía nos queda en este mundillo es la existencia de gente que destripa apps, dispositivos, redes,... y nos cuenta las mierdas que nos intentan colar...
Me hizo recordar la app de la Liga que escuchaba a la hora del partido a ver si estabas en un bar para mandar la ubicación...
11 K 132
Ovlak #19 Ovlak *
#2 Y en este caso se han encontrado cosas muy rápido porque el código es open source y auditable. Por ejemplo, el tema del PIN es un bug gordo porque permite a un tercero (con acceso físico al dispositivo) utilizar las credenciales de edad previamente registradas. Pero también está sirviendo para desinformar, porque están tildando de MITM que la documentación explique como modificar el código fuente para aceptar respuestas de un servidor HTTPS con certificados autofirmados cuando es algo a la…   » ver todo el comentario
4 K 38
BM75 #31 BM75
#12 ¿Cómo la van a haberla hackeado si es de código abierto?
Lee a #19, porque disparas hacia donde no toca...
1 K 20
#3 endy *
Tanto cuento con que viene el fascismo y resulta que ya estaba en casa.
La táctica de siempre: usar un motivo con el que todo el mundo está de acuerdo y con la excusa de la seguridad, el gobierno se pela siglos de lucha por los derechos.
Que Europa está involucionando es un hecho con tanto aspirante al control total.
7 K 88
#4 Pitchford *
A los menores, que se identificarán con identidades falsas, es a los únicos que no van a tener controlados 100%. Yo preguntaré a un sobrino espabilado que tengo que como lo ha hecho para obtener la certificación y le copiaré.
2 K 36
Nylo #14 Nylo
"... todos los datos personales que almacena"

Una app de verificación de edad lo único que tiene que almacenar es una variable booleana "isOver18".
2 K 35
cosmonauta #34 cosmonauta *
Flipo que que adslzone públique algo tan erróneo y sensacionalista.

Y flipo con que sea portada cen meneame cuando los dos envíos que anunciaron su publicación ayer pasaron sin pena no gloria, no sé ni si llegaron a portada.

Alucino también con que lleve 48 negativos y siga ahí. @imparsifal esto no es normal. Los negativos no chutan.

Os habéis vuelto una viejas de las que ven el Sálvame.
1 K 31
Gry #5 Gry *
Como decíamos, el problema no es solo el acceso que tienen los organismos oficiales a los datos de los menores

Los menores precisamente no van a instalar la app... ¿Para que les bloquee el acceso al porno?

Y si la instalan lo harán con datos falsos de sus padres, o de algún mayor de edad que hayan conseguido por Internet a cambio de fotos ligeras de ropa. :-P
2 K 31
alfre2 #8 alfre2
#5 conociendo a los padres de hoy participarán en buena gana del engaño “para no traicionar a sus hijos”, que luego les da ansiedad :wall:
0 K 11
taSanás #17 taSanás
#8 o para educarlos en que obedecer como borreguitos anula completamente al ser humano y te convierte en un mero generador de beneficios empresariales y votos
0 K 7
chemari #15 chemari
No se de que datos hablamos, pero la policía ya tiene todos tus datos. De hecho son ellos los que expiden tu DNI.
2 K 26
rogerius #21 rogerius
#15 ¿No se refieren a que ahora también podría saber qué páginas frecuentas en la interné?
0 K 20
angelitoMagno #30 angelitoMagno
#21 La app de verificación no almacena esa información.
0 K 13
#13 PerritaPiloto
Sensacionalista y errónea.
2 K 19
#7 alhambre
Va a ser una mierda cuando obliguen a instalar esto para acceder al banco o la administración o lo que se les ocurra para forzar su uso.
2 K 18
#10 Eukherio *
#7 Justo esos ya conocen tus datos. No hay login anónimo para banco y administración.
2 K 19
#11 alhambre
#10 Da igual, se integra la verificación de edad por motivos de seguridad extendida.
0 K 7
taSanás #18 taSanás *
#7 no te obligo a vacunarte,’pero si quieres salir de casa…

No, no soy antivacunas, pero no me gustan los métodos torticeros. Si quieres obligar a la población vete de cara
0 K 7
angelitoMagno #33 angelitoMagno
¿Adslzone siendo sensacionalista?
No puede ser, ya no podemos confiar en nadie :-/
0 K 13
#20 Dav3n *
@Supercinexin recuerdas aquello que te dije? Pues eso, ma friend, aquí lo tienes.

Les ha faltado time. Y solo es el primer intento, así que ojo.
0 K 13
BM75 #32 BM75
#20 Aquí tenemos ¿qué?
La noticia no podría ser más sensacionalista...
1 K 20
MMS_ES_LEJIA #29 MMS_ES_LEJIA
Peor es ser trabajar como colaborador con las condiciones de un trabajador asalariado, y no lo veo en prensa.
0 K 9
Paisos_Catalans #12 Paisos_Catalans *
Habría que despedir e inhabilitar de por vida a todos los managers que la han creado. Si en 2 minutos han conseguido hackearla, es que no han contratado a el equipo adecuado para no solo crearla, sinó TESTARLA y securizarla.

Me da miedo que los mismos vuelvan a hacer otra app para europa o peor, que ya exista algúna que hayan hecho. Habria que hacerlas pasar todas por un equipo de hackers independiente.
2 K 8
f2105 #16 f2105
No sé si será cierto o no lo de la noticia, pero verás cuando la peña se entere que al menos en Temu y Aliexpress pide verificación de edad para ver ciertos artículos. Creo que hay que hacerse un selfie, foto del dni o no sé porque no lo he hecho ni lo haré, a través de Au10tix, una empresa Israelí.
0 K 7
#22 Inagotable
#16 Para comprar unas tristes tijeras te lo piden...
0 K 6
cosmonauta #35 cosmonauta
#16 Y eso es precisamente lo que está wallet quiere evitar. Que el puto Temu te pida TODOS los datos de tu DNI cuando solo me necesita una prueba verificada.
0 K 19

menéame