Type and hit Enter to search

اخبار کریپتو

خطر افشای اطلاعات کاربران در پروژه Worldcoin !

مارس 17, 2024
3 Mins Read

Worldcoin: بررسی Trail of Bits هیچ آسیب‌پذیری برای نرم‌افزار Orb پیدا نکرد

یک حسابرسی مستقل از نرم‌افزار Orb پروژه Worldcoin انجام شده است. این حسابرسی توسط Trail of Bits انجام شده و ادعا می‌کند که هیچ آسیبی پیدا نکرده است که به طور مستقیم قابل سوءاستفاده در رابطه با اهداف پروژه، همانطور که شرح داده شده است” باشد.

Worldcoin پروژه‌ای برای احراز هویت انسان‌ها است که به افراد این امکان را می‌دهد تا با ثبت‌نام با شماره تلفن، آدرس ایمیل یا اسکن عنبیه چشم توسط دستگاه Orb، انسان بودن خود را تایید کنند. با انجام این ثبت‌نام، کاربران یک “شناسه جهانی” دریافت می‌کنند که می‌تواند برای اثبات انسان بودن آن‌ها استفاده شود. این پروژه توسط سم آلتمن، یکی از بنیانگذاران OpenAI توسعه‌دهنده چت‌بات GPT-3، تأسیس شده است. آلتمن ادعا می‌کند که به دلیل ترس از اینکه به زودی ربات‌های هوش مصنوعی (AI) بتوانند به طور مؤثری خود را به عنوان انسان جا بزنند، به ایجاد Worldcoin کمک کرده است.

مدافعان حریم خصوصی، Worldcoin را به دلیل خطر افشای اسکن عنبیه کاربران به هکرها یا دولت‌ها مورد انتقاد قرار داده‌اند. این اسکن‌های عنبیه ممکن است به طور بالقوه برای فاش کردن تمام فعالیت‌هایی که یک فرد با شناسه جهانی خود انجام می‌دهد، استفاده شود.گزارش شده است که حسابرسان شش هفته را صرف بررسی کد برای هر گونه آسیب‌پذیری احتمالی کرده‌اند. آن‌ها چندین روش حمله را در نظر گرفتند که یک هکر می‌توانست برای به دست آوردن اسکن عنبیه کاربر استفاده کند، اما در نهایت نتیجه‌گیری کردند که تجزیه و تحلیل ما هیچ گونه آسیب‌پذیری در کد Orb پیدا نکرد که بتواند به طور مستقیم در رابطه با اهداف پروژه، همانطور که شرح داده شده است، مورد سوءاستفاده قرار گیرد. به طور خاص، حسابرسان نتیجه گرفتند که یک مهاجم نمی تواند کد عنبیه کاربر را به دست آورد مگر اینکه کنترل یکی از گواهینامه‌های معتمد را داشته باشد. آن‌ها گفته‌اند:

ما بر این باوریم که کد عنبیه روی حافظه دائمی Orb نوشته نمی‌شود و تنها در یک درخواست واحد به سرویس‌دهنده Orb گنجانده شده است .در حالی که این پیکربندی را می‌توان برای ایمن‌تر کردن آن بهبود بخشید (TOB-ORB-10)، برای مهاجمان معمولی نباید امکان استخراج کد عنبیه از ترافیک شبکه Orb وجود داشته باشد؛ مهاجم باید کنترل یکی از گواهینامه‌های معتمد را به دست آورد.

طبق گزارش، حسابرسان دو پیشنهاد برای بهبود امنیت Orb ارائه کردند. اولین مورد “تقویت” پیکربندی برای جریان ثبت‌نام بود تا اطمینان حاصل شود که تغییرات آتی مشکلات امنیتی ایجاد نکند. دومین مورد جایگزینی کتابخانه ZBar که برای اسکن کدهای QR در هنگام ثبت نام استفاده می شود با یک نسخه Rust خالص بود. حسابرسان ادعا کردند که ZBar ممکن است دارای مشکلات “ایمنی حافظه” باشد که در صورت عدم انجام این تغییر، می‌تواند داده‌های پیکربندی مانند “انتخاب سرپرستی داده” کاربر را فاش کند. در گزارش آمده است که تیم Worldcoin هر دو تغییر پیشنهادی را اجرا کرده است.

بحث در مورد شیوه‌های حفظ حریم خصوصی Worldcoin ممکن است برای مدتی ادامه داشته باشد. در تاریخ ۶ مارس، آژانس حمایت از داده‌های اسپانیا (AEPD) دستور قضایی علیه این پروژه صادر کرد و ادعا کرد که این آژانس به زمان برای بررسی ادعاهای نقض قوانین حمایت از داده توسط Worldcoin نیاز دارد. در پاسخ، Worldcoin ادعا کرد که این قوانین را نقض نکرده است و دولت اسپانیا با صدور این دستور قضایی در حال “دور زدن قوانین اتحادیه اروپا” است.

منبع خبر:cointelegraph.com

Tags:

No Comment! Be the first one.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

نوشته‌های مرتبط