Insistint en la seva narrativa de compromís amb la privadesa, el controversial projecte de criptomonedes Worldcoin va permetre una auditoria especialitzada dels Orbs, els aparells regats a diversos països del món per a l’escaneig d’iris. I els resultats de la revisió de seguretat, van demostrar que, en efecte, hi ha riscos de privadesa pel maneig de les dades biomètriques de les persones.
D’acord amb allò informat pel projecte, la Fundació Worlcoin i l’empresa Tools for Humanity (TFH), van contractar la signatura de seguretat Trail of Bits perquè s’encarregués d’auditar el programari que dóna vida als Orbs. L’empresa va revelar els resultats de l’auditoria en un context de denúncies, investigacions i prohibicions de països a les operacions de Worldcoin, precisament per temes de privadesa.
L’auditoria va comptar amb accés complet al codi font dels Orbs, així com la documentació daquests dispositius. Es van fer proves estàtiques i dinàmiques del codi base utilitzant processos automatitzats i manuals. La revisió es va centrar únicament en el programari que s’executa al dispositiu Orb i va ser desenvolupat per TFH.
Segons el que indica Trail of Bits en un informe amb els resultats de l’auditoria, no es van descobrir vulnerabilitats en el programari dels Orbs de Worldcoin que es puguin explotar directament en relació amb els objectius del projecte, que és accedir a les dades biomètriques per verificar la humanitat.
Tot i això, entre les seves troballes, Trail of Bits va identificar que el programari dels Orbs no bloqueja la memòria a la RAM. Això significa que, si els desenvolupadors del codi configuren l’espai d’intercanvi per expandir la capacitat de la memòria RAM dels escàners, les dades confidencials dels usuaris, així com les dades biomètriques, podrien persistir-hi indefinidament.
En altres paraules, si els desenvolupadors dels Orbs decideixen expandir a través de l’espai d’intercanvi la memòria RAM dels aparells, les dades privades dels usuaris que escanegin els seus iris podrien veure’s compromesos.
Per solucionar-ho, Trail of Bits recomana a Worldcoin utilitzar el codi mlock per bloquejar la memòria on s’emmagatzemen dades confidencials a la RAM. Això evitarà que aquesta memòria sigui intercanviada al disc si es configura lespai dintercanvi.
Trail of Bits també recomana a Worldcoin fer seguiment per garantir que les dades biomètriques dels usuaris mai no es facin servir “de forma inesperada”.
L’anàlisi del codi de font dels Orbs de Worldcoin va ser executat per un equip de tres consultors de Trail of Bits. Aquest estudi es va estendre del 7 al 26 d’agost del 2023pocs mesos després que el projecte va arribar al mercat.
No s’evidencia un mal maneig de dades privades
Al seu informe, Trail of Bits va indicar que no es van trobar problemes relacionats amb l’ús incorrecte d’informació d’identificació personal o dels codis d’iris.
Tot i això, adverteixen que “un canvi de codi en el futur podria introduir aquests problemes”.
“Per evitar això, recomanem investigar i utilitzar solucions de seguiment de contaminació per garantir que aquestes dades mai no s’utilitzin incorrectament (per exemple, que mai es passin a funcions de registre)”, assenyala la signatura de seguretat.
L’informe de Trail of Bits, per una banda, confirma les preocupacions relacionades amb què els Orbs de Worldcoin emmagatzemen informació que pot ser explotada. Això, considerant que està a una decisió dels desenvolupadors deixar la informació privada dels usuaris permanentment arreplegada als escàners d’iris.
Però, per altra banda, l’informe apaga les alarmes amb allò relacionat amb el mal maneig de la informació biomètrica dels usuaris, ja que confirmen que no hi ha un ús incorrecte de tals dades (almenys fins ara). Això, d’acord amb el que diuen des de Worldcoin.
Tiago Sada, un dels arquitectes darrere de Worldcoin, va assenyalar CriptoNoticias fa uns dies que ells no tenen intenció de quedar-se amb la informació privada de les persones que acudeixin al projecte. Fins i tot va assegurar que l’escàner d’iris no representa un risc a la privadesa i que Worldcoin és més privat que Facebook, Google i TikTok.
Calmant les aigües
Amb l’auditoria especialitzada de Trail of Bits, Worldcoin busca calmar les veus que clamen per més transparència, sobretot a partir de la prohibició d’Espanya que aquest projecte segueixi operant i escanejant els iris dels usuaris d’aquell país.
L’Agència Espanyola de Protecció de Dades (AEPD) va emetre una mesura cautelar contra Worlcoin fa poc per impedir que continuessin accedint a les dades biomètriques dels usuaris a la nació ibèrica. Això a partir de quatre denúncies, rebudes per aquesta oficina, en què es manifesta preocupació sobre el maneig de la informació de l’iris.
Posteriorment, la decisió de l’agència espanyola va ser ratificada per l’Audiència Nacional, quan va rebutjar el recurs d’apel·lació interposat per Worldcoin i va sol·licitar a l’empresa que no utilitzés les dades biomètriques que ja han obtingut dels espanyols.
Fins ara, 8 nacions del món van obrir investigacions contra Worldcoin, portades per les preocupacions de seguretat i privadesa. Només 2 van decidir prohibir les operacions. Kenya, a mitjans de l’any passat i recentment Espanya.
Tot i això, Worldcoin sembla tenir tota la intenció de continuar expandint-se, considerant que ja hi ha més de 6 milions d’usuaris a tot el món, amb més de la meitat d’ells ja havent escanejat els seus iris per obtenir el grapat de tokens WLD.
