Egy brit kiberbiztonsági szakértő szerint mindössze két perc alatt megkerülhető az EU szerdán bemutatott életkor-ellenőrző alkalmazásának hitelesítési folyamata.
Az alkalmazás célja, hogy a felhasználók személyes adataik megadása nélkül igazolhassák életkorukat különböző online platformokon.
Ursula von der Leyen, az Európai Bizottság elnöke a bemutatón azt mondta, a rendszer megfelel a legmagasabb adatvédelmi követelményeknek.
Paul Moore brit biztonsági tanácsadó csütörtökön az X közösségi oldalon közzétett bejegyzésében arra figyelmeztetett, hogy az alkalmazásban alapvető tervezési hibák vannak, amelyek lehetővé teszik a hitelesítési folyamat megkerülését.
„Komolyan, von der Leyen - ez a rendszer előbb-utóbb hatalmas adatvédelmi incidenshez vezet majd. Csak idő kérdése"
- írta a szakértő.
Hozzátette, hogy a PIN kódot ugyan titkosítva tárolja a rendszer, de az nincs megfelelően összekapcsolva a felhasználó személyazonosságát igazoló adatokkal. Moore szerint elegendő törölni néhány helyi beállítást, majd új PIN-t megadni, és az alkalmazás az új kóddal is elfogadja a korábban megszerzett életkor-igazolást.
A szakértő további gyenge pontokat is kiemelt:
- a hibás próbálkozások számát a készüléken tárolják, ám ez az érték egyszerűen módosítható, így a PIN kód korlátlanul próbálgatható.
- A biometrikus ellenőrzés egyetlen beállítással kihagyható, ami a szakértő szerint gyakorlatilag hatástalanítja ezt a biztonsági funkciót.
A közösségi médiában más fejlesztők és biztonsági szakértők is bírálták az alkalmazást.
Többen felvetették, hogy az app miért nem a modern okostelefonok hardveres biztonsági megoldásait használja, például az iPhone-okban elérhető Secure Enclave-ot vagy az Android-készülékekben használt Android Keystore-t. A rendszer működésével kapcsolatban többen megkérdőjelezték, hogy miért jár le az életkor-igazolás, és miért korlátozzák az új igazolások számát.
Az Európai Unió 2025 júliusában mutatta be az életkor-ellenőrző alkalmazás prototípusát, válaszul azokra a szabályozási törekvésekre, amelyek több tagállamban szigorúbb életkor-ellenőrzést írnak elő az online platformok számára. Az Európai Bizottság egyelőre nem reagált a felmerült biztonsági aggályokra.