Η νέα εφαρμογή επαλήθευσης ηλικίας της Ευρωπαϊκής Επιτροπής παρακάμφθηκε σε λιγότερο από δύο λεπτά από ερευνητή ασφαλείας.
Η νέα εφαρμογή επαλήθευσης ηλικίας της ΕΕ χακαρίστηκε σε λιγότερο από δύο λεπτά, αμέσως μετά την επίσημη παρουσίασή της από την Κομισιόν.
Ο σύμβουλος ασφαλείας Paul Moore εντόπισε σοβαρά σχεδιαστικά κενά στον τρόπο αποθήκευσης του PIN και παρέκαμψε τα μέτρα προστασίας.
Η αποκάλυψη θέτει υπό αμφισβήτηση την πανευρωπαϊκή αξιοπιστία του συστήματος.
Μόλις λίγες ώρες μετά την επίσημη παρουσίαση της νέας εφαρμογής επαλήθευσης ηλικίας της Ευρωπαϊκής Επιτροπής, ερευνητής ασφαλείας δημοσίευσε βίντεο που δείχνει πλήρη παράκαμψη των μηχανισμών της σε λιγότερο από δύο λεπτά. Η αποκάλυψη έρχεται την ίδια εβδομάδα που η πρόεδρος της Κομισιόν Ursula von der Leyen δήλωσε ότι «δεν υπάρχουν πια δικαιολογίες» για τις πλατφόρμες που δεν ελέγχουν την ηλικία των χρηστών τους.
Η Ευρωπαϊκή Επιτροπή ανακοίνωσε αυτή την εβδομάδα την κυκλοφορία δωρεάν, open source εφαρμογής που προορίζεται για την επαλήθευση ηλικίας σε επισκέπτες κοινωνικών δικτύων και ιστοσελίδων πορνογραφικού περιεχομένου. Η εφαρμογή παρουσιάστηκε ως λύση που προστατεύει τους ανηλίκους χωρίς να υποχρεώνει τις πλατφόρμες να συλλέγουν ευαίσθητα προσωπικά δεδομένα. Η von der Leyen την χαρακτήρισε τεχνικά έτοιμη και εναρμονισμένη με τα υψηλότερα πρότυπα ιδιωτικότητας, καλώντας τα κράτη-μέλη να την υιοθετήσουν άμεσα.
Ο σύμβουλος ασφαλείας Paul Moore δημοσίευσε στο X σειρά ευρημάτων που, όπως υποστηρίζει, του επέτρεψαν να χακάρει την εφαρμογή σε λιγότερο από δύο λεπτά. Το βασικό πρόβλημα εντοπίζεται στον τρόπο αποθήκευσης του PIN που ορίζει ο χρήστης κατά την αρχική ρύθμιση. Ο κώδικας αποθηκεύει κρυπτογραφημένο το PIN τοπικά στη συσκευή, αλλά η κρυπτογράφηση δεν συνδέεται με το vault ταυτότητας που κρατά τα πραγματικά διαπιστευτήρια επαλήθευσης. Έτσι, ένας επιτιθέμενος με φυσική πρόσβαση στη συσκευή μπορεί να επεξεργαστεί απευθείας το αρχείο ρυθμίσεων, να ορίσει νέο PIN και να αποκτήσει πρόσβαση στα ήδη επαληθευμένα στοιχεία του αρχικού προφίλ.
Hacking the #EU #AgeVerification app in under 2 minutes.
During setup, the app asks you to create a PIN. After entry, the app *encrypts* it and saves it in the shared_prefs directory.
1. It shouldn't be encrypted at all – that's a really poor design.
2. It's not… https://t.co/z39qBdclC2 pic.twitter.com/FGRvWtWzaZ— Paul Moore – Security Consultant (@Paul_Reviews) April 16, 2026
Ο Moore, απευθυνόμενος στη von der Leyen με σχετικό post, κατέληξε ότι το προϊόν θα προκαλέσει αργά ή γρήγορα μια μεγάλης κλίμακας παραβίαση. Η ευπάθεια επιβεβαιώθηκε ανεξάρτητα από τον whitehat ερευνητή Baptiste Robert στο Politico, που αναπαρήγαγε τη μέθοδο παράκαμψης.
Η εφαρμογή προωθείται ως υποδομή πανευρωπαϊκής εμβέλειας, καθώς υποτίθεται πως θα χρησιμοποιηθεί από εκατομμύρια χρήστες για πρόσβαση σε πλατφόρμες όπου απαιτείται ηλικιακός έλεγχος. Η εξάρτηση από τοπική αποθήκευση για την επιβολή μηχανισμών όπως η αυθεντικοποίηση θεωρείται γνωστό anti-pattern στον κόσμο της ανάπτυξης mobile εφαρμογών. Σε τέτοια αρχιτεκτονική, ο επιτιθέμενος που έχει έλεγχο της συσκευής παρακάμπτει ουσιαστικά τους ελέγχους του server.
Το γεγονός ότι μια εφαρμογή που προορίζεται να προστατεύσει ανηλίκους σε ολόκληρη την Ευρώπη κατέρρευσε μέσα σε λίγα λεπτά δείχνει πόσο βιαστική ήταν η παρουσίαση. Το ζήτημα δεν είναι τεχνικό αλλά ουσιαστικό: όταν μια τέτοια εφαρμογή υιοθετηθεί επίσημα, ευαίσθητα δεδομένα ταυτότητας θα διακινούνται μέσω ενός συστήματος που ήδη έχει αποδειχθεί τρωτό. Η ασφάλεια δεν κερδίζεται με δημοσιεύσεις Τύπου και πολιτικές δηλώσεις — χτίζεται με αυστηρό έλεγχο κώδικα πριν από τη διάθεση.
Επιτρέπει στους χρήστες να επιβεβαιώνουν την ηλικία τους σε κοινωνικά δίκτυα και ιστοσελίδες ενηλίκων χωρίς να μοιράζονται προσωπικά τους στοιχεία με τις πλατφόρμες.
Ο Βρετανός σύμβουλος ασφαλείας Paul Moore, ο οποίος δημοσίευσε βίντεο παράκαμψης στο X που επιβεβαιώθηκε από τον whitehat ερευνητή Baptiste Robert.
Επειδή το PIN αποθηκεύεται τοπικά χωρίς να συνδέεται κρυπτογραφικά με το vault ταυτότητας, επιτρέποντας σε επιτιθέμενο με πρόσβαση στη συσκευή να το αντικαταστήσει.
Όχι — η μέθοδος απαιτεί βασική επεξεργασία αρχείου ρυθμίσεων και ολοκληρώνεται σε λιγότερο από δύο λεπτά.
Οι ειδικοί εκτιμούν ότι η εφαρμογή χρειάζεται πλήρη αρχιτεκτονική αναθεώρηση προτού μπορέσει να αξιοποιηθεί με ασφάλεια σε πανευρωπαϊκή κλίμακα.
Με την εγγραφή σας αποδέχεστε την Πολιτική Απορρήτου.
Google Lens, Recorder και Snapseed: τρεις δωρεάν εφαρμογές της Google που προσφέρουν αναζήτηση με εικόνα, μεταγραφή φωνής και επαγγελματική επεξεργασία φωτογραφίας.
Το iOS 27 φέρνει systemwide slider για το Liquid Glass και σειρά βελτιώσεων στη διεπαφή του iPhone. Δείτε τι αναμένεται στο WWDC της 8ης Ιουνίου.
Το Perplexity έγινε η δεύτερη AI εφαρμογή που φτάνει στο Apple CarPlay μετά το ChatGPT, με φωνητική λειτουργία για iPhone με iOS 26.4.
Το Gemini συνδέεται με το Google Photos και φτιάχνει εξατομικευμένες AI εικόνες μέσω Nano Banana 2. Δείτε πώς λειτουργεί και τι συμβαίνει με τα δεδομένα σας.
A project by Κώστας Βλαχάκης
Σχόλια