Paul Moore brit biztonsági tanácsadó csütörtökön az X közösségi oldalon közzétett bejegyzésében arra figyelmeztetett, hogy az alkalmazásban alapvető tervezési hibák vannak, amelyek lehetővé teszik a hitelesítési folyamat megkerülését.

– írta a szakértő. Azt írta, hogy a PIN-kódot ugyan titkosítva tárolja a rendszer, de az nincs megfelelően összekapcsolva a felhasználó személyazonosságát igazoló adatokkal. Moore szerint elegendő törölni néhány helyi beállítást, majd új PIN-t megadni, és az alkalmazás az új kóddal is elfogadja a korábban megszerzett életkor-igazolást.

A szakértő további gyenge pontokat is kiemelt: a hibás próbálkozások számát a készüléken tárolják, ám ez az érték egyszerűen módosítható, így a PIN-kód korlátlanul próbálgatható. A biometrikus ellenőrzés egyetlen beállítással kihagyható, ami a szakértő szerint gyakorlatilag hatástalanítja ezt a biztonsági funkciót.

A közösségi médiában más fejlesztők és biztonsági szakértők is bírálták az alkalmazást: többen felvetették, hogy az app miért nem a modern okostelefonok hardveres biztonsági megoldásait használja, például az iPhone-okban elérhető Secure Enclave-ot vagy az Android-készülékekben használt Android Keystore-t. A rendszer működésével kapcsolatban többen megkérdőjelezték, hogy miért jár le az életkor-igazolás, és miért korlátozzák az új igazolások számát.

Az Európai Unió 2025 júliusában mutatta be az életkor-ellenőrző alkalmazás prototípusát, válaszul azokra a szabályozási törekvésekre, amelyek több tagállamban szigorúbb életkor-ellenőrzést írnak elő az online platformoknak. Az Európai Bizottság egyelőre nem reagált a felmerült biztonsági aggályokra.

Borítókép: Két perc alatt megkerülhető az EU életkor-ellenőrző alkalmazásának hitelesítési folyamata (Fotó: AFP)