EU-App zur Altersüberprüfung in zwei Minuten gehackt!

Die erst gestern vorgestellte EU-App zur Altersüberprüfung konnte ein Sicherheitsforscher innerhalb von zwei Minuten hacken.

EU-App ist bei weitem nicht sicher genug

Einfache Umgehung der Sicherheitsvorkehrungen

Sicherheitsmechanismen kann man problemlos ausschalten

Altersüberprüfungen sorgen anhaltend für Kritik

Tech-Konzerne versuchen sich zu widersetzen

Altersüberprüfung mit weitreichenden Folgen

Die Europäische Union stellte am gestrigen Mittwoch eine neue App zur Altersüberprüfung vor. Damit können Nutzer ihr Alter online nachweisen, ohne persönliche Daten an Plattformen weitergeben zu müssen, wodurch Websites keine sensiblen Informationen mehr erfassen müssen. Doch die EU-App hat der Sicherheitsforscher Paul Moore schon gehackt, wie er bei X schrieb.

EU-App ist bei weitem nicht sicher genug

Moores Meldung kommt direkt nachdem Ursula von der Leyen die neue Altersüberprüfungs-App als „technisch ausgereift“ und im Einklang mit „den höchsten Datenschutzstandards“ gelobt hatte. Sie hatte ebenfalls deren Open-Source-Charakter als Zeichen der Transparenz hervorgehoben. Womöglich ist die Software etwas zu transparent, denn Sicherheitsexperten äußerten sich auf X (ehemals Twitter) kritisch zur Sicherheit der neuen ID-Anwendung. Der Sicherheitsberater Paul Moore beschrieb detailliert, was er als grundlegende Designfehler im Altersverifizierungssystem der EU bezeichnete. „Im Ernst, Frau von der Leyen – dieses Produkt wird irgendwann der Auslöser für einen massiven Datenverstoß sein. Es ist nur eine Frage der Zeit“, schrieb er. Die EU hatte bereits im Juli 2025 den ersten Prototypen ihrer geplanten EU-App vorgestellt.

Einfache Umgehung der Sicherheitsvorkehrungen

Laut Moore speichert die App eine verschlüsselte PIN lokal. Doch entscheidend sei, dass die Verschlüsselung nicht mit dem Identitätsspeicher des Nutzers verknüpft ist, der die sensiblen Verifizierungsdaten aufbewahren soll. Das öffnet die Tür für eine überraschend einfache Umgehung. Durch das Löschen bestimmter, mit der PIN verknüpfter Werte aus den Konfigurationsdateien und einem Neustart der EU-App kann ein Angreifer eine neue PIN festlegen und gleichzeitig weiterhin Zugriff die Anmeldedaten behalten, die man vorher erstellt hatte. Somit akzeptiert die App wiederverwendete Identitätsdaten eines Minderjährigen mit einer vom Hacker eingestellten Zugriffskontrolle. Das war so natürlich nicht gedacht.

Inhalte von Twitter erlauben?

Diese Seite enthält Inhalte, die von Twitter bereitgestellt werden. Wir bitten dich um deine Zustimmung, bevor wir die Inhalte laden, da sie Cookies und andere Technologien verwenden können. Du solltest die Datenschutzerklärung von Twitter und die Cookie-Richtlinie lesen, bevor du einwilligst.

Inhalte immer laden von Twitter.

Akzeptieren und Inhalte laden

Sicherheitsmechanismen kann man problemlos ausschalten

Moore wies zudem auf weitere Schwachstellen hin, die Brute-Force-Angriffe oder andere Umgehungsversuche noch einfacher gestalten. Die Anzahl der Versuche........

© Tarnkappe