Biztonság

Az EU életkor-ellenőrző alkalmazásának „feltörése”: amit az ellenőrzőknek tudniuk kell

Egy biztonsági kutató szerint az új EU-s életkor-ellenőrző alkalmazás 2 perc alatt megkerülhető. Mi történt valójában, mi igaz belőle, és mi miatt kell aggódniuk a kereskedőknek?

Az eIDAS Pro csapata
2026. április 18.
9 perc olvasás

Mi történt 2026. április 15–16-án

  1. április 15-én Ursula von der Leyen, az Európai Bizottság elnöke Brüsszelben bejelentette, hogy az EU életkor-ellenőrző alkalmazása — amelyet gyakran „mini-tárcának” neveznek, mivel a készülő EU digitális személyazonossági tárca (EUDI Tárca) egy szűk részhalmazát képezi — technikailag készen áll a bevezetésre. Huszonnégy órán belül Paul Moore biztonsági tanácsadó egy rövid videót tett közzé az X-en, amelyben azt állította, hogy az alkalmazás védelmét két perc alatt képes megkerülni. A hír gyorsan átterjedt a sajtóba, és a Redditen több tízezer felszavazattal trendelt az r/europe, az r/privacy, az r/technology és az r/BuyFromEU fórumain.

Ha Ön kereskedői fizetési folyamatot, ellenőrzői háttérrendszert vagy korhatáros platformot üzemeltet, a „2 perc alatt feltörve” szalagcím riasztóan hangzik. Ugyanakkor félrevezető is. Lássuk a technikailag pontos képet.

A három tervezési hiba, amelyet a kutató azonosított

Moore elemzése — amely az alkalmazás nyilvánosan olvasható Android-forráskódján alapul az eu-digital-identity-wallet/av-app-android-wallet-ui repóban — három gyengeséget tárgyal abban, ahogyan az alkalmazás a helyi állapotot kezeli egy Android-eszközön.

1. A PIN el van választva az azonosítótárolótól

Az alkalmazás egy titkosított PIN-kódot tárol a helyi beállításfájljában. A titkosítási kulcs azonban nincs kriptográfiailag összekötve azzal a hitelesítőtárolóval, amelyben az aláírt életkor-tanúsítványok vannak. A konfigurációs fájl PIN-hez tartozó bejegyzéseinek törlésével és az alkalmazás újraindításával a támadó új PIN-t állíthat be, miközben hozzáfér a korábbi felhasználó hitelesítőihez. A tároló elfogadja a visszaállított PIN-t új legitim hozzáférés-vezérlésként, mert a PIN és a hitelesítők soha nem voltak egymáshoz zárva.

Ez valós tervezési hiba. Az adatvédelem-központú architektúrának érvényteleníteni kell a tárolt hitelesítőket minden PIN-visszaállításkor.

2. A sebességkorlátozás nyílt szöveges számlálóként tárolva

Az alkalmazás egy számlálóval véd a PIN-találgatás ellen, amely minden sikertelen próbálkozásnál növekszik. Ez a számláló ugyanabban a szerkeszthető konfigurációs fájlban van, mint a PIN-állapot. Ha nullára állítja, az alkalmazás elfelejti az összes korábbi próbálkozást.

3. A biometrikus ellenőrzést logikai jelző vezérli

A biometrikus ellenőrzést egyetlen true/false érték kapcsolja be vagy hagyja ki a konfigurációban. Állítsa false-ra, és a biometrikus lépés soha nem fut le.

A kritikus megszorítás, amelyet a szalagcímek elhagynak

Mindhárom megkerüléshez fizikai hozzáférés szükséges egy rootolt, feloldott Android-eszközhöz. Ezen a ponton a támadó már teljes olvasási/írási hozzáféréssel rendelkezik az alkalmazás privát tárolójához — ugyanazzal a hozzáférési szinttel, mint maga az alkalmazás. Ez nem távoli exploit. Hálózaton keresztül nem indítható. Nem szivárogtat ki hitelesítőket az eszközről. A megkerülés következményeként semmilyen harmadik fél nem kap semmilyen személyes adatot.

Az r/europe-bejegyzés legtöbb felszavazatot kapott kommentje egyszerűen fogalmazott: „fizikai hozzáféréssel a feloldott rootolt eszközhöz — ez eléggé fontos része a történetnek”. Ez a komment néhány óra alatt 140 felszavazatot gyűjtött, pontosan azért, mert a Reddit technikai közönsége átlátott a tálaláson.

Mit jelent ez az ellenőrző felek és kereskedők számára

Ha Ön életkor-ellenőrzést integrál egy fizetési folyamatba vagy platformba, a releváns kérdés ez: tud-e a támadó hamis életkor-tanúsítványt bemutatni a háttérrendszeremnek? A jelenlegi hibafeltárás alapján a válasz: nem. A megkerülés lehetővé teszi, hogy a támadó a saját, feltört eszközén új PIN-nel hozzáférjen a saját, korábban tárolt hitelesítőihez. Nem teszi lehetővé hitelesítő adat hamisítását, új hitelesítő adat kibocsátását vagy valaki más aláírt tanúsítványának visszajátszását.

A távoli bemutatási folyamat alapjául szolgáló OpenID4VP protokoll továbbra is pontosan úgy működik, ahogy a specifikáció előírja. Ha részletesebben szeretné megérteni, hogyan véd ez a protokoll az ellenőrző feleket a visszajátszástól és a hitelesítők manipulálásától, olvassa el OpenID4VP-mélymerülésünket és technikai magyarázónkat az eIDAS-ellenőrzés működéséről.

A jogos strukturális aggályok

Magától a „feltöréstől” különválasztva a hibafeltárás két strukturális kritikát is felszínre hozott, amelyeket nehezebb elvetni.

Platformfüggőség. Mivel az alkalmazás az operációs rendszer attesztációjára és aláírt bináris állományokra támaszkodik integritása bizonyítása érdekében, csak aláírt iOS- és Android-binárisokon fut. Egy magas szavazatszámú r/privacy-bejegyzés arra hívja fel a figyelmet, hogy szabad (libre) kliens soha nem készülhet el, mert bármely saját fordítású bináris megbukik az attesztáción. Ez akkor fontos, ha Ön olyan európai intézmény, amelynek digitális szuverenitási mandátuma tiltja az Apple- és Google-kapuőrzéstől való erős függést.

Google Play Services-függőség. Magyar fejlesztők az r/programmingHungary-n rámutattak, hogy az Android-build a Google Play Services-re támaszkodva működik. Egy olyan EU-s digitális személyazonosság-eszköz, amelyet Google End User Licence Agreement elfogadása nélkül nem lehet használni, kínosan illeszkedik az EU deklarált, amerikai hiperszkálázóktól való függetlenségi politikájához.

A technikailag hozzáértő magyar vita a legpontosabb pozitív megfigyelést is megfogalmazta: a mögöttes protokollréteg — OpenID Verifiable Credentials plusz OpenID4VP-szelektív adatközlés — valóban az egyik leginkább adatvédelmet tiszteletben tartó tervezés, amelyet jelenleg bevetettek életkor-ellenőrzésre. A megvalósítási problémák javíthatók; a kriptográfiai architektúra szilárd.

Miért nyer ezúttal a nyílt forráskód

Maga a hibafeltárási ciklus a legerősebb érv az EU nyílt forráskódú választása mellett. A hibákat egy független kutató azonosította a nyilvános forráskód olvasásával, 24 órán belül reprodukálták őket, és már a szokásos javítási folyamaton haladnak. Egy zárt forrású megvalósítás ugyanezekkel a hibákkal jelent volna meg, és a gyártón kívül senki sem tudott volna róluk egészen egy tényleges adatvédelmi incidensig.

Hosszan írtunk arról, miért választottuk ugyanezt a megközelítést a saját SDK-nkhoz — lásd az OpenEUDI bemutatkozást és az EU auditjának tanulságai a nyílt forráskódú tárcakészítőknek című cikket.

Mit tegyenek ma a kereskedők

  1. Ne módosítsa az integrációs terveit. A megkerülés nem érinti az OpenID4VP bemutatási folyamatot, amelyet az Ön háttérrendszere ellenőriz. Az aláírt tanúsítványok kriptográfiailag továbbra is érvényesek.
  2. Figyelje a javítási menetrendet. Az EU referenciaalapú Android-alkalmazása javítást kap; a fenti három probléma mindegyike egyértelmű szoftveres javítás.
  3. Válassza el az életkor-ellenőrzést a fiók-helyreállítástól. Ha a fizetési folyamata bármilyen, ellenőrzött felhasználóhoz kötött helyi állapotot tárol, alkalmazza a tanulságot: kösse kriptográfiailag a hozzáférés-vezérlőket (PIN, passkey) az általuk védett adatokhoz.
  4. Ha saját ellenőrzőt épít, használja adatvédelem-központú mintánkat — ellenőrizzen egyszer, csak egy logikai értéket tároljon, ne tartson dokumentumképeket. A referenciamegvalósításért lásd az Adatvédelem-központú életkor-ellenőrzés OpenEUDI-val cikkünket.

A tágabb kép

Ez a történet három dolgot mond el arról, hol tart az EUDI Tárca-ökoszisztéma 2026 áprilisában. Először is: az EU valóban auditálható kódot ad közre, és a kutatók valóban auditálják. Másodszor: a tárcaalkalmazások úgy épülnek, hogy érdemben függenek a platformattesztációtól — ez olyan kompromisszum, amelynek súlyos következményei vannak a szuverenitás és a hordozhatóság szempontjából. Harmadszor: a kereskedők felé néző ellenőrzési folyamatot ez a hibafeltárás nem érinti. Ha azt tervezte, hogy EUDI Tárca-ellenőrzést ad a fizetési folyamatához, az elmúlt 72 óra eseményei nem indokolják e terv módosítását.

Országonkénti nézetért arról, hol tartanak a tagállamok a tárcabevezetésükkel, lásd 2026. áprilisi EUDI Tárca-bevezetési státusz cikkünket. A felhasználók tárcába való beiratkozásának jogi keretéért lásd a 2026/798 végrehajtási rendelet elemzésünket.

Olyan ellenőrzői integrációt keres, amely ma már felkészült az EUDI Tárcára, és automatikusan éles üzemre vált? Tekintse meg az eIDAS Pro menedzselt csomagjait, vagy olvassa el az OpenEUDI SDK-gyorsindítót.

Címkék

Életkor-ellenőrzésEUDI TárcaBiztonságNyílt forráskódOpenID4VPeIDAS 2SebezhetőségEU

Cikk megosztása

Segítsen másoknak megismerni az eIDAS-ellenőrzést

Kapcsolódó cikkek

Biztonság

Csalásmegelőzés: Hogyan szünteti meg az eIDAS a hamis igazolványokat és a személyazonosság-lopást

Fedezze fel, hogyan állítja meg az eIDAS-alapú személyazonosság-ellenőrzés a csalást a forrásánál kriptográfiai aláírások és kormányzati PKI segítségével, kiküszöbölve a hagyományos dokumentumalapú ellenőrzés sebezhetőségeit.

11 perc olvasás