Una aplicación de verificación de edad de la UE ha generado controversia después de que expertos en ciberseguridad descubrieran múltiples vulnerabilidades. El sistema, que afirmaba ser "técnicamente completo" y cumplir con los "más altos estándares de privacidad", fue violado en menos de dos minutos. El consultor de seguridad Paul Moore fue el primero en señalar la vulnerabilidad. Después de estudiar el código fuente abierto de la aplicación, demostró en un vídeo cómo eludir la protección.
La vulnerabilidad clave es que el código PIN cifrado solo se almacena localmente en el dispositivo y no está vinculado de manera confiable al área de almacenamiento de identidad. Un atacante puede simplemente eliminar algunos archivos de servicios del sistema para restablecer los PIN antiguos, establecer nuevas contraseñas y obtener acceso completo a datos de identidad previamente autenticados. Además, se encontraron configuraciones en el archivo de configuración que permiten desactivar la autenticación biométrica (cambiando el valor del parámetro de "verdadero" a "falso") y restablecer el número de intentos de ingreso del PIN. Moore señaló que estas operaciones no requieren herramientas complejas y pueden completarse en minutos.
Lo que es realmente impactante es que la aplicación almacena datos biométricos "sin procesar" y fotografías de selfies sin cifrar en el dispositivo del usuario. Contrariamente a las declaraciones de la Comisión Europea sobre la confidencialidad y el anonimato del proceso, el sistema nunca eliminó automáticamente estos archivos. Posteriormente se confirmó que el problema mencionado anteriormente no apareció en la muestra de prueba, sino que existía en la versión final del software disponible para descargar.
Al comentar la situación, la Comisión Europea reconoció deficiencias pero desestimó las acusaciones de incompetencia. Los representantes oficiales dijeron que la aplicación aún se encuentra en la etapa de perfeccionamiento y que la versión actual no está destinada a su implementación real. Prometen que todas las vulnerabilidades descubiertas se solucionarán en un futuro próximo y que la versión final del producto se lanzará en una fecha posterior.