Evrópusambandið kynnir nýtt app til að staðfesta aldur svo þú komist á internetið – Þegar búið að finna stórfellda öryggisgalla á því

17.04.2026 10:47:47 👁️ 0 lesið

Á að fjarlægja helstu hindranir

Í kynningunni sinni lagði von der Leyen áherslu á að með þessari lausn geti netfyrirtæki ekki lengur haldið því fram að aldursstaðfesting sé of flókin eða tæknilega ómöguleg.

„Við erum að bjóða upp á einfalt og ókeypis kerfi sem virkar,“ sagði hún og bætti við að þetta myndi auðvelda löggjafanum að framfylgja reglum. netvettvöngum.

Svona á kerfið að virka

Notendur sækja appið og tengja það við opinber skilríki, til dæmis vegabréf eða persónuskilríki. Við uppsetningu er notandi beðinn um að búa til PIN númer sem er síðan dulkóðað og vistað í möppu í tækinu.

Þegar farið er inn á þjónustu sem krefst aldursstaðfestingar getur notandi staðfest aldur sinn með einföldum hætti. Kerfið á að tryggja að aðeins aldurinn sjálfur sé staðfestur, ekki hver einstaklingurinn er.

Segir appið nafnlaust og órekjanlegt

Samkvæmt framkvæmdastjórn ESB uppfyllir appið ströngustu kröfur um persónuvernd og notendur eiga að geta sannað aldur sinn án þess að deila öðrum upplýsingum, og ekki á að vera hægt að rekja notkun þeirra en á sama tíma halda efasemdamenn því fram að sé viljinn fyrir hendi geti yfirvöld skoðað alla notkun þar sem appið kom við sögu og því auðvelt að nota það til að fylgja með hverjir heimasækja hvaða vefsíður.

Appið er jafnframt hannað til að virka á öllum helstu tækjum, þar á meðal símum, spjaldtölvum og tölvum.

Öryggisgallar þegar komnir í ljós

Á sama tíma hafa þegar komið fram alvarlegar áhyggjur af öryggismálum. Paul Moore, sem hefur það að atvinnu að hakka sig inn í öryggiskerfi til að prufa öryggi þeirra, segist þegar hafa sýnt fram á að hægt sé að komast framhjá vernd appsins á innan við tveimur mínútum, ef viðkomandi hefur aðgang að tækinu í eigin persónu.

Samkvæmt greiningu hans er hægt að breyta stillingaskrám appsins þannig að dulkóðuð PIN gildi eru fjarlægð, takmörkun á fjölda innsláttar tilrauna endurstillt og lífkenniskröfur gerðar óvirkar. Eftir það er hægt að setja nýtt PIN númer og fá aðgang að fyrirliggjandi aldursstaðfestingu (þetta er þýtt eftir bestu getu blaðamanns).

Þá bendir hann á að í frumkóða appsins, sem er öllum opinn, sjáist að lífkennigögn, þar á meðal andlitsmyndir og sjálfsmyndir notenda, séu vistuð í tækinu sem ódulkóðaðar PNG skrár. Einnig hafi eyðing gagna ekki reynst fullnægjandi, sem þýði að myndir geti orðið eftir í tækinu þrátt fyrir að hafa átt að vera fjarlægðar.

Hacking the #EU #AgeVerification app in under 2 minutes.

During setup, the app asks you to create a PIN. After entry, the app *encrypts* it and saves it in the shared_prefs directory.

1. It shouldn’t be encrypted at all – that’s a really poor design.
2. It’s not… https://t.co/z39qBdclC2 pic.twitter.com/FGRvWtWzaZ

— Paul Moore – Security Consultant  (@Paul_Reviews) April 16, 2026

Opinn kóði og möguleg alþjóðleg notkun

Framkvæmdastjórnin leggur áherslu á að opinn kóði appsins sé styrkur, þar sem sérfræðingar geti farið yfir hann og metið öryggi lausnarinnar. Jafnframt gæti það auðveldað öðrum ríkjum að taka upp svipað kerfi.