Eksperci nie znaleźli żadnych luk w skanerze Orb firmy Worldcoin
- Projekt Worldcoin przeszedł zewnętrzny audyt przeprowadzony przez Trail of Bits.
- Specjaliści nie zidentyfikowali żadnych luk w skanerze Orb.
- Badanie wykazało, że urządzenie nie zapisuje kodu tęczówki w pamięci trwałej, ale przesyła otrzymane dane za pomocą szyfrowania.
Zdecentralizowany protokół uwierzytelniania tożsamości Worldcoin został niezależnie skontrolowany przez Trail of Bits. Podczas audytu specjaliści nie zidentyfikowali żadnych luk ani problemów z poufnością danych.
Według raportu, 14 sierpnia 2023 r. zespół Trail of Bits rozpoczął testowanie oprogramowania i urządzenia Orb przeznaczonego do skanowania tęczówki. Eksperci podobno spędzili sześć tygodni na badaniu kodu pod kątem potencjalnych luk w zabezpieczeniach.
W szczególności symulowali kilka ataków, podczas których hakerzy mogli potencjalnie uzyskać dostęp do danych osobowych użytkowników. Audytorzy doszli do wniosku, że kod urządzenia nie zawierał żadnych luk w zabezpieczeniach.
“Nasza analiza nie zidentyfikowała żadnych luk w kodzie Orb. Uważamy, że dane tęczówki nie są zapisywane w pamięci trwałej Orb. Konfigurację można poprawić, aby była bezpieczniejsza” – powiedział Trail of Bits.
Zauważyli również, że potencjalni atakujący nie mają możliwości wyodrębnienia danych tęczówki z ruchu sieciowego Orb. Aby to zrobić, haker musi kontrolować jeden z zaufanych certyfikatów.
Eksperci przedstawili kilka zaleceń, które mogą poprawić bezpieczeństwo Orb. Pierwsza z nich dotyczy konieczności poprawy konfiguracji procesu rejestracji, a druga związana jest z biblioteką ZBar przeznaczoną do skanowania kodu QR podczas rejestracji.
Z raportu wynika, że zespół Worldcoin wdrożył zalecenia Trail of Bits i wprowadził wszystkie niezbędne zmiany. Przypomnijmy, że deweloperzy przygotowują się do wydania drugiej wersji Orb. Przypuszczalnie zostanie ona wydana w pierwszej połowie 2024 roku.
Wcześniej opublikowaliśmy materiał, w którym szczegółowo zrecenzowaliśmy ten projekt. Zachęcamy do zapoznania się z nim:
Dmitriy YurchenkoOd czasu uruchomienia w lipcu 2023 r. Worldcoin napotkał presję ze strony organów regulacyjnych w wielu krajach na całym świecie. Projekt był ostro krytykowany w Niemczech, Wielkiej Brytanii, Francji i Kenii.
Na początku 2024 r. przeszukano biura Worldcoin w Hongkongu, a władze Korei Południowej wszczęły dochodzenie w sprawie startupu. Ponadto Worldcoin został oficjalnie zakazany w Hiszpanii.
