Két perc alatt megkerülhető az EU életkor-ellenőrző alkalmazásának hitelesítése
Egy brit kiberbiztonsági szakértő szerint mindössze két perc alatt megkerülhető az EU szerdán bemutatott életkor-ellenőrző alkalmazásának hitelesítési folyamata.
Az alkalmazás célja, hogy a felhasználók személyes adataik megadása nélkül igazolhassák életkorukat különböző online platformokon. Ursula von der Leyen, az Európai Bizottság elnöke a bemutatón azt mondta, a rendszer megfelel a legmagasabb adatvédelmi követelményeknek.
Paul Moore brit biztonsági tanácsadó csütörtökön az X közösségi oldalon közzétett bejegyzésében arra figyelmeztetett, hogy az alkalmazásban alapvető tervezési hibák vannak, amelyek lehetővé teszik a hitelesítési folyamat megkerülését.
- írta a szakértő.
Azt írta, hogy a PIN kódot ugyan titkosítva tárolja a rendszer, de az nincs megfelelően összekapcsolva a felhasználó személyazonosságát igazoló adatokkal. Moore szerint elegendő törölni néhány helyi beállítást, majd új PIN-t megadni, és az alkalmazás az új kóddal is elfogadja a korábban megszerzett életkor-igazolást.
A közösségi médiában más fejlesztők és biztonsági szakértők is bírálták az alkalmazást: többen felvetették, hogy az app miért nem a modern okostelefonok hardveres biztonsági megoldásait használja, például az iPhone-okban elérhető Secure Enclave-ot vagy az Android-készülékekben használt Android Keystore-t.
A rendszer működésével kapcsolatban többen megkérdőjelezték, hogy miért jár le az életkor-igazolás, és miért korlátozzák az új igazolások számát. Az Európai Unió 2025 júliusában mutatta be az életkor-ellenőrző alkalmazás prototípusát, válaszul azokra a szabályozási törekvésekre, amelyek több tagállamban szigorúbb életkor-ellenőrzést írnak elő az online platformok számára.
Az Európai Bizottság egyelőre nem reagált a felmerült biztonsági aggályokra.
