Worldcoin: بررسی Trail of Bits هیچ آسیبپذیری برای نرمافزار Orb پیدا نکرد
خطر افشای اطلاعات کاربران در پروژه Worldcoin !یک حسابرسی مستقل از نرمافزار Orb پروژه Worldcoin انجام شده است. این حسابرسی توسط Trail of Bits انجام شده و ادعا میکند که هیچ آسیبی پیدا نکرده است که به طور مستقیم قابل سوءاستفاده در رابطه با اهداف پروژه، همانطور که شرح داده شده است” باشد.
Worldcoin پروژهای برای احراز هویت انسانها است که به افراد این امکان را میدهد تا با ثبتنام با شماره تلفن، آدرس ایمیل یا اسکن عنبیه چشم توسط دستگاه Orb، انسان بودن خود را تایید کنند. با انجام این ثبتنام، کاربران یک “شناسه جهانی” دریافت میکنند که میتواند برای اثبات انسان بودن آنها استفاده شود. این پروژه توسط سم آلتمن، یکی از بنیانگذاران OpenAI توسعهدهنده چتبات GPT-3، تأسیس شده است. آلتمن ادعا میکند که به دلیل ترس از اینکه به زودی رباتهای هوش مصنوعی (AI) بتوانند به طور مؤثری خود را به عنوان انسان جا بزنند، به ایجاد Worldcoin کمک کرده است.
مدافعان حریم خصوصی، Worldcoin را به دلیل خطر افشای اسکن عنبیه کاربران به هکرها یا دولتها مورد انتقاد قرار دادهاند. این اسکنهای عنبیه ممکن است به طور بالقوه برای فاش کردن تمام فعالیتهایی که یک فرد با شناسه جهانی خود انجام میدهد، استفاده شود.گزارش شده است که حسابرسان شش هفته را صرف بررسی کد برای هر گونه آسیبپذیری احتمالی کردهاند.
خطر افشای اطلاعات کاربران در پروژه Worldcoin !
آنها چندین روش حمله را در نظر گرفتند که یک هکر میتوانست برای به دست آوردن اسکن عنبیه کاربر استفاده کند، اما در نهایت نتیجهگیری کردند که “تجزیه و تحلیل ما هیچ گونه آسیبپذیری در کد Orb پیدا نکرد که بتواند به طور مستقیم در رابطه با اهداف پروژه، همانطور که شرح داده شده است، مورد سوءاستفاده قرار گیرد.“ به طور خاص، حسابرسان نتیجه گرفتند که یک مهاجم نمی تواند کد عنبیه کاربر را به دست آورد مگر اینکه کنترل یکی از گواهینامههای معتمد را داشته باشد. آنها گفتهاند:
“ما بر این باوریم که کد عنبیه روی حافظه دائمی Orb نوشته نمیشود و تنها در یک درخواست واحد به سرویسدهنده Orb گنجانده شده است .در حالی که این پیکربندی را میتوان برای ایمنتر کردن آن بهبود بخشید (TOB-ORB-10)، برای مهاجمان معمولی نباید امکان استخراج کد عنبیه از ترافیک شبکه Orb وجود داشته باشد؛ مهاجم باید کنترل یکی از گواهینامههای معتمد را به دست آورد.“
خطر افشای اطلاعات کاربران در پروژه Worldcoin ! طبق گزارش، حسابرسان دو پیشنهاد برای بهبود امنیت Orb ارائه کردند. اولین مورد “تقویت” پیکربندی برای جریان ثبتنام بود تا اطمینان حاصل شود که تغییرات آتی مشکلات امنیتی ایجاد نکند. دومین مورد جایگزینی کتابخانه ZBar که برای اسکن کدهای QR در هنگام ثبت نام استفاده می شود با یک نسخه Rust خالص بود. حسابرسان ادعا کردند که ZBar ممکن است دارای مشکلات “ایمنی حافظه” باشد که در صورت عدم انجام این تغییر، میتواند دادههای پیکربندی مانند “انتخاب سرپرستی داده” کاربر را فاش کند. در گزارش آمده است که تیم Worldcoin هر دو تغییر پیشنهادی را اجرا کرده است.
بحث در مورد شیوههای حفظ حریم خصوصی Worldcoin ممکن است برای مدتی ادامه داشته باشد. در تاریخ ۶ مارس، آژانس حمایت از دادههای اسپانیا (AEPD) دستور قضایی علیه این پروژه صادر کرد و ادعا کرد که این آژانس به زمان برای بررسی ادعاهای نقض قوانین حمایت از داده توسط Worldcoin نیاز دارد. در پاسخ، Worldcoin ادعا کرد که این قوانین را نقض نکرده است و دولت اسپانیا با صدور این دستور قضایی در حال “دور زدن قوانین اتحادیه اروپا” است.
منبع خبر:cointelegraph.com
No Comment! Be the first one.