Проект идентификации людей Worldcoin получил сторонний аудит своего программного обеспечения Orb, согласно проекту отчета команды разработчиков от 14 марта.
Аудит был проведен компанией Trail of Bits, которая заявила, что не обнаружила никаких уязвимостей, которые «можно напрямую использовать для достижения описанных целей проекта», говорится в отчете. Ожидается, что полный отчет Trail of Bits будет опубликован 14 марта, согласно заявлению Worldcoin.
Worldcoin (WLD) позволяет людям подтвердить свою человечность, зарегистрировавшись по номеру телефона или адресу электронной почты или просканировав радужную оболочку глаза с помощью устройства Orb. Когда пользователь выполняет эту регистрацию, он получает «World ID», который можно использовать для доказательства того, что он настоящий человек. Соучредителем проекта является Сэм Альтман, который также является сооснователем OpenAI, разработчика ChatGPT. Альтман утверждает, что он помог создать Worldcoin из-за опасений, что боты с искусственным интеллектом (ИИ) вскоре смогут эффективно выдавать себя за людей.
Источник: Worldcoin на X.
Защитники конфиденциальности раскритиковали Worldcoin на том основании, что он рискует передать сканы радужной оболочки глаз пользователей хакерам или правительствам. Эти данные потенциально могут быть использованы для выявления всех действий, которые человек выполняет со своим World ID.
Согласно отчету Worldcoin, Trail of Bits начала свою оценку 14 августа 2023 года. Охранной фирме была предоставлена версия 3.1.10, которая была «заморожена» в целях оценки 8 июля 2023 года. Текущая версия — 4.0.34, — говорится в сообщении.
Сообщается, что аудиторы потратили шесть недель на изучение кода на предмет потенциальных уязвимостей. Они рассмотрели несколько векторов атак, которые хакер мог бы использовать для получения сканирования радужной оболочки глаза пользователя, но в конечном итоге пришли к выводу, что «наш анализ не выявил уязвимостей в коде Orb, которые можно напрямую использовать для эксплоита против описанных целей проекта». В частности, аудиторы пришли к выводу, что злоумышленник не сможет получить код iris пользователя, если не получит контроль над одним из доверенных сертификатов.
«Мы считаем, что код iris не записывается в постоянное хранилище на Orb и что он включается только в один запрос к серверной части Orb [...] [Хотя] эта конфигурация может быть улучшена, чтобы сделать ее более безопасной (TOB-ORB-10), у обычных злоумышленников не должно быть возможности извлечь код радужной оболочки глаза из сетевого трафика Orb. Для этого злоумышленнику придется контролировать один из доверенных сертификатов», – говорится в отчете об аудите.
Согласно отчету, аудиторы дали две рекомендации по улучшению безопасности Orb. Первым было «ужесточить» конфигурацию процесса регистрации, чтобы гарантировать, что будущие изменения не создадут проблем с безопасностью. Второе — заменить библиотеку ZBar, используемую для сканирования QR-кодов во время регистрации, на чистую версию Rust. Аудиторы заявили, что у ZBar могут быть проблемы с «безопасностью памяти», которые могут привести к утечке данных конфигурации, например, «выбора хранения данных» пользователя, если это изменение не будет сделано. В отчете говорится, что команда Worldcoin реализовала оба предложенных изменения.
Дебаты по поводу политики конфиденциальности Worldcoin могут продолжаться еще некоторое время. 6 марта Испанское агентство по защите данных издало судебный запрет против проекта, заявив, что агентству нужно время для расследования заявлений о том, что Worldcoin нарушает законы о защите данных. В ответ Worldcoin заявила, что не нарушила эти законы и что правительство Испании «обходит законы ЕС», выпустив судебный запрет.