Krytyczne luki w unijnej aplikacji do weryfikacji wieku: Co naprawdę ujawnił audyt?
W połowie kwietnia 2026 roku światem technologicznym wstrząsnęła informacja o błyskawicznym złamaniu zabezpieczeń prototypowej aplikacji Unii Europejskiej służącej do weryfikacji wieku (EU Age Verification App). Brytyjski badacz cyberbezpieczeństwa, Paul Moore, udowodnił, że sforsowanie bariery ochronnej systemu zajmuje mniej niż 120 sekund. Incydent ten wywołał ogólnoeuropejską dyskusję nad bezpieczeństwem portfela tożsamości cyfrowej (EUDI Wallet).
Trzy główne słabości systemu
Analiza przeprowadzona przez Moore’a oraz niezależne grupy audytowe (m.in. Simply Secure) wykazała, że aplikacja w wersji testowej posiadała błędy na poziomie samej architektury logicznej:
- Bypass limitu prób (Brute Force): Aplikacja teoretycznie blokowała dostęp po kilku nieudanych próbach wpisania PIN-u. Okazało się jednak, że licznik tych prób był zapisywany w zwykłym, edytowalnym pliku lokalnym. Haker mógł zresetować licznik do zera za pomocą prostej komendy, co pozwalało na nieskończone próby odgadnięcia hasła.
- Lokalne przechowywanie kluczy: Mechanizm autoryzacji opierał się na plikach konfiguracyjnych, do których dostęp (na telefonach z uprawnieniami administratora lub po fizycznym podłączeniu do komputera) był nieograniczony. Pozwalało to na ręczną zmianę zapisanego numeru PIN bez znajomości starego kodu.
- Wyłączenie biometrii jednym kliknięciem: Zabezpieczenia takie jak FaceID czy czytnik linii papilarnych można było całkowicie dezaktywować poprzez zmianę pojedynczej wartości logicznej (z true na false) w kodzie konfiguracyjnym aplikacji.
Czy Twoje dane są zagrożone?
Ważne jest rozróżnienie między teoretyczną podatnością a realnym atakiem. Aby wykorzystać luki odkryte przez Moore’a, napastnik musiałby:
- Mieć fizyczny dostęp do Twojego telefonu.
- Odblokować sam telefon (ekran główny).Posiadać zaawansowaną wiedzę techniczną, by edytować pliki systemowe aplikacji.
- Dla przeciętnego użytkownika, który nie zgubił telefonu, ryzyko było bliskie zeru. Jednak dla instytucji państwowej, która ma gwarantować najwyższy standard bezpieczeństwa, obecność takich błędów w kodzie była kompromitująca.
Odpowiedź Komisji Europejskiej: „To tylko prototyp”
Rzecznik Komisji Europejskiej ds. cyfryzacji podkreślił w oświadczeniu, że analizowany kod pochodził z repozytorium open source i służył celom demonstracyjnym.
„Celem udostępnienia kodu źródłowego było właśnie to, co się wydarzyło – zaangażowanie społeczności do znalezienia błędów przed oficjalnym wdrożeniem systemu dla 450 milionów obywateli” – wyjaśniano w komunikacie.
Eksperci przyznają rację tej argumentacji, zaznaczając jednak, że obecność tak elementarnych błędów w oficjalnym prototypie świadczy o dużym pośpiechu przy pracach programistycznych.
Co dalej z weryfikacją wieku w UE?
Incydent ten wymusił na deweloperach zmianę podejścia do tzw. Secure Element – fizycznego chipu w smartfonach (podobnego do tego używanego przy płatnościach zbliżeniowych), w którym docelowo mają być przechowywane dane dotyczące tożsamości. Dzięki temu dane mają być odseparowane od reszty systemu operacyjnego, co uniemożliwiłoby ataki oparte na edycji plików konfiguracyjnych.
Kluczowe wnioski:
- Fakt: Aplikacja została zhakowana w warunkach laboratoryjnych.
- Skala: Problem dotyczył wersji testowej, a nie finalnego produktu dostępnego w sklepach z aplikacjami.
- Skutek: UE zapowiedziała dodatkowe audyty zewnętrzne i zwiększenie nacisku na zabezpieczenia sprzętowe (hardware-level security).