Worldcoin: аудит Trail of Bits не выявил уязвимостей в программном обеспечении Orb

Проект человеческой идентификации Worldcoin получил сторонний аудит своего программного обеспечения Orb, согласно проекту отчета команды разработчиков от 14 марта, с которым ознакомился Cointelegraph. Аудит был проведен компанией Trail of Bits, которая заявила, что не обнаружила никаких уязвимостей, которые «можно напрямую использовать для достижения описанных целей проекта», говорится в отчете. Ожидается, что полный отчет Trail of Bits будет опубликован 14 марта, согласно заявлению Worldcoin, отправленному по электронной почте.

Worldcoin позволяет людям подтвердить свою человечность, зарегистрировавшись по номеру телефона, адресу электронной почты или просканировав радужную оболочку глаза с помощью устройства под названием «Сфера». Когда пользователь выполняет эту регистрацию, он получает «World ID», который можно использовать для доказательства того, что он настоящий человек. Соучредителем проекта является Сэм Альтман, который также является сооснователем OpenAI, разработчика ChatGPT. Альтман утверждал, что он помог создать Worldcoin из-за опасений, что боты с искусственным интеллектом вскоре смогут эффективно выдавать себя за людей.

Защитники конфиденциальности раскритиковали Worldcoin на том основании, что он рискует передать сканы радужной оболочки глаз пользователей хакерам или правительствам. Критики утверждают, что эти сканирования радужной оболочки потенциально могут быть использованы для выявления всех действий, которые человек выполняет со своим World ID.

Связанный: Испанский суд отклонил запрос Worldcoin на судебный запрет против регулятора

Согласно отчету Worldcoin, Trail of Bits начала свою оценку 14 августа 2023 года. Охранной фирме была предоставлена ​​версия 3.1.10, которая была «заморожена» для целей оценки 8 июля 2023 года. Текущая версия — 4.0.34″, – говорится в сообщении.

Сообщается, что аудиторы потратили шесть недель на изучение кода на предмет потенциальных уязвимостей. Они рассмотрели несколько векторов атак, которые хакер потенциально мог бы использовать для получения сканирования радужной оболочки глаза пользователя, но в конечном итоге пришли к выводу, что «наш анализ не выявил уязвимостей в коде Orb, которые можно напрямую использовать для достижения описанных целей проекта». В частности, аудиторы пришли к выводу, что злоумышленник не может получить iris-код пользователя, если злоумышленник не контролирует один из доверенных сертификатов, как они, как сообщается, заявили:

«Мы считаем, что код iris не записывается в постоянное хранилище на Orb и что он включается только в один запрос к серверной части Orb […] [Хотя] эта конфигурация может быть улучшена, чтобы сделать ее более безопасной (TOB-ORB-10), у обычных злоумышленников не должно быть возможности извлечь код радужной оболочки глаза из сетевого трафика Orb;злоумышленнику придется контролировать один из доверенных сертификатов».

Согласно отчету, аудиторы дали две рекомендации по улучшению безопасности Orb. Первым было «ужесточить» конфигурацию процесса регистрации, чтобы гарантировать, что будущие изменения не создадут проблем с безопасностью. Второе — заменить ZBar Library, используемую для сканирования QR-кодов во время регистрации, на чистую версию Rust. Аудиторы заявили, что у ZBar могут быть проблемы с «безопасностью памяти», которые могут привести к утечке данных конфигурации, например, с «выбором хранения данных» пользователя, если это изменение не было сделано. В отчете говорится, что команда Worldcoin реализовала оба предложенных изменения.

Дебаты по поводу политики конфиденциальности Worldcoin могут продолжаться некоторое время.6 марта Испанское агентство по защите данных (AEPD) издало судебный запрет против проекта, заявив, что агентству нужно время для расследования заявлений о том, что Worldcoin нарушает законы о защите данных. В ответ Worldcoin заявила, что не нарушила эти законы и что правительство Испании «обходило законы ЕС», выпустив судебный запрет.