Biztonság

Az EU életkor-ellenőrző app 'feltörése': mit tudjanak az ellenőrzők

Egy biztonsági kutató szerint az új EU-s életkor-ellenőrző app 2 perc alatt megkerülhető. Mi történt valójában, mi igaz belőle, és min aggódjanak a kereskedők.

eIDAS Pro Team
2026. április 18.
9 perc olvasás

Mi történt 2026. április 15–16-án

  1. április 15-én Ursula von der Leyen, az Európai Bizottság elnöke Brüsszelben bejelentette, hogy az EU életkor-ellenőrző alkalmazása — amelyet gyakran „mini-tárcának” neveznek, mivel a készülő EU Digitális Személyazonosság-tárca (EUDI Tárca) egy szűk részhalmazát képezi — technikailag készen áll a bevezetésre. Huszonnégy órán belül Paul Moore biztonsági tanácsadó egy rövid videót tett közzé az X-en, amelyben azt állította, hogy az app védelmét két perc alatt képes megkerülni. A hír gyorsan átterjedt a sajtóba, és a Redditen több tízezer felszavazattal trendelt az r/europe, az r/privacy, az r/technology és az r/BuyFromEU fórumain.

Ha Ön kereskedői fizetési folyamatot, ellenőrzői háttérrendszert vagy korhatáros platformot üzemeltet, a „2 perc alatt feltörve” szalagcím riasztóan hangzik. Ugyanakkor félrevezető is. Lássuk a technikailag pontos képet.

A három tervezési hiba, amelyet a kutató azonosított

Moore elemzése — amely az app nyilvánosan olvasható Android-forráskódján alapul az eu-digital-identity-wallet/av-app-android-wallet-ui repóban — három gyengeséget tárgyal abban, ahogyan az app a helyi állapotot kezeli egy Android-eszközön.

1. A PIN el van választva az azonosítótárolótól

Az app egy titkosított PIN-kódot tárol a helyi beállításfájljában. A titkosítási kulcs azonban nincs kriptográfiailag hozzákötve ahhoz a hitelesítőtárolóhoz, amelyben az aláírt életkor-tanúsítványok élnek. A konfigurációs fájl PIN-hez tartozó bejegyzéseinek törlésével és az app újraindításával a támadó új PIN-t állíthat be, miközben az előző felhasználó hitelesítőit örökli. A tároló elfogadja a visszaállított PIN-t új legitim hozzáférés-vezérlésként, mert a PIN és a hitelesítők soha nem voltak egymáshoz zárva.

Ez valós tervezési hiba. Az adatvédelem-központú architektúrának érvényteleníteni kell a tárolt hitelesítőket minden PIN-visszaállításkor.

2. A sebességkorlátozás nyílt szöveges számlálóként tárolva

Az app egy számlálóval véd a PIN-találgatás ellen, amely minden sikertelen próbálkozásnál növekszik. Ez a számláló ugyanabban a szerkeszthető konfigurációs fájlban van, mint a PIN-állapot. Ha nullára állítja, az app elfelejti az összes korábbi próbálkozást.

3. A biometrikus ellenőrzést logikai jelző vezérli

A biometrikus ellenőrzést egyetlen true/false érték kapcsolja be vagy hagyja ki a konfigurációban. Állítsa false-ra, és a biometrikus lépés soha nem fut le.

A kritikus megszorítás, amelyet a szalagcímek elhagynak

Mindhárom megkerüléshez fizikai hozzáférés szükséges egy rootolt, feloldott Android-eszközhöz. Ezen a ponton a támadó már teljes olvasási/írási hozzáféréssel rendelkezik az app privát tárolójához — ugyanazzal a hozzáférési szinttel, mint maga az app. Ez nem távoli exploit. Hálózaton keresztül nem indítható. Nem szivárogtat ki hitelesítőket az eszközről. A megkerülés következményeként semmilyen harmadik fél nem kap semmilyen személyes adatot.

Az r/europe topikjának legtöbb felszavazatot kapott kommentje egyszerűen fogalmazott: „fizikai hozzáféréssel a feloldott rootolt eszközhöz — ez eléggé fontos része a történetnek”. Ez a komment néhány óra alatt 140 felszavazatot gyűjtött, pontosan azért, mert a Reddit technikai közönsége átlátott a tálaláson.

Mit jelent ez az ellenőrző felek és kereskedők számára

Ha Ön életkor-ellenőrzést integrál egy fizetési folyamatba vagy platformba, a releváns kérdés ez: tud-e a támadó hamis életkor-tanúsítványt bemutatni a háttérrendszeremnek? A jelenlegi disclosure alapján a válasz: nem. A megkerülés lehetővé teszi, hogy a támadó a saját, feltört eszközén új PIN-nel hozzáférjen a saját, korábban tárolt hitelesítőihez. Nem teszi lehetővé hitelesítő hamisítását, újat kibocsátását, vagy valaki más aláírt tanúsítványának visszajátszását.

A távoli bemutatási folyamat alapjául szolgáló OpenID4VP protokoll továbbra is pontosan úgy működik, ahogy a specifikáció előírja. Ha részletesebben szeretné megérteni, hogyan véd ez a protokoll az ellenőrző feleket a visszajátszástól és a hitelesítők manipulálásától, olvassa el OpenID4VP-mélymerülésünket és technikai magyarázónkat az eIDAS-ellenőrzés működéséről.

A jogos strukturális aggályok

Magától a „feltöréstől” különválasztva a disclosure két strukturális kritikát is felszínre hozott, amelyeket nehezebb elvetni.

Platformfüggőség. Mivel az app az operációs rendszer attesztációjára és aláírt bináris állományokra támaszkodik integritása bizonyítása érdekében, csak aláírt iOS- és Android-buildeken fut. Egy magas szavazatszámú r/privacy-bejegyzés arra hívja fel a figyelmet, hogy szabad (libre) kliens soha nem készülhet el, mert bármely saját fordítású bináris megbukik az attesztáción. Ez akkor fontos, ha Ön olyan európai intézmény, amelynek digitális szuverenitási mandátuma tiltja az Apple- és Google-kapuőrzéstől való erős függést.

Google Play Services-függőség. Magyar fejlesztők az r/programmingHungary-n rámutattak, hogy az Android-build a Google Play Services-re támaszkodva működik. Egy olyan EU-s digitális személyazonosság-eszköz, amelyet Google End User Licence Agreement elfogadása nélkül nem lehet használni, kínosan illeszkedik az EU deklarált, amerikai hiperszkálázóktól való függetlenségi politikájához.

A technikailag hozzáértő magyar vita a legpontosabb pozitív megfigyelést is megfogalmazta: a mögöttes protokollréteg — OpenID Verifiable Credentials plusz OpenID4VP-szelektív adatközlés — valóban az egyik leginkább adatvédelmet tiszteletben tartó tervezés, amelyet jelenleg bevetettek életkor-ellenőrzésre. A megvalósítási problémák javíthatók; a kriptográfiai architektúra szilárd.

Miért nyer ezúttal a nyílt forráskód

Maga a disclosure-ciklus a legerősebb érv az EU nyílt forráskódú választása mellett. A hibákat egy független kutató azonosította a nyilvános forráskód olvasásával, 24 órán belül reprodukálták őket, és már a szokásos javítási folyamaton haladnak. Egy zárt forrású megvalósítás ugyanezekkel a hibákkal szállt volna le, és a gyártón kívül senki sem tudott volna róluk egészen egy tényleges adatvédelmi incidensig.

Hosszan írtunk arról, miért választottuk ugyanezt a megközelítést a saját SDK-nkhoz — lásd az OpenEUDI bemutatkozást és az EU auditja milyen leckékkel szolgál a nyílt forráskódú tárcakészítőknek című cikket.

Mit tegyenek ma a kereskedők

  1. Ne módosítsa az integrációs terveit. A megkerülés nem érinti az OpenID4VP bemutatási folyamatot, amelyet az Ön háttérrendszere ellenőriz. Az aláírt tanúsítványok kriptográfiailag továbbra is érvényesek.
  2. Figyelje a javítási menetrendet. Az EU referenciaalapú Android-appja javítást kap; a fenti három probléma mindegyike egyértelmű szoftveres javítás.
  3. Válassza el az életkor-ellenőrzést a fiók-helyreállítástól. Ha a fizetési folyamata bármilyen, ellenőrzött felhasználóhoz kötött helyi állapotot tárol, alkalmazza a tanulságot: kösse kriptográfiailag a hozzáférés-vezérlőket (PIN, passkey) az általuk védett adatokhoz.
  4. Ha saját ellenőrzőt épít, használja adatvédelem-központú mintánkat — ellenőrizzen egyszer, csak egy logikai értéket tároljon, ne tartson dokumentumképeket. A referenciamegvalósításért lásd az Adatvédelem-központú életkor-ellenőrzés OpenEUDI-val cikkünket.

A tágabb kép

Ez a történet három dolgot mond el arról, hol tart az EUDI Tárca ökoszisztéma 2026 áprilisában. Először is: az EU valóban auditálható kódot szállít, és a kutatók valóban auditálják. Másodszor: a tárcaalkalmazások úgy épülnek, hogy érdemben függenek a platformattesztációtól — ez olyan kompromisszum, amelynek súlyos következményei vannak a szuverenitás és a hordozhatóság szempontjából. Harmadszor: a kereskedők felé néző ellenőrzési folyamatot ez a disclosure nem érinti. Ha azt tervezte, hogy EUDI Tárca-ellenőrzést ad a fizetési folyamatához, az elmúlt 72 óra eseményei semmit nem indokolnak e tervből változtatni.

Országonkénti nézetért arról, hol tartanak a tagállamok a tárcabevezetésükkel, lásd 2026. áprilisi EUDI Tárca-bevezetési státusz cikkünket. A felhasználók tárcába való onboardingjának jogi keretéért lásd a 2026/798 végrehajtási rendelet elemzésünket.

Olyan ellenőrzői integrációt keres, amely ma már felkészült az EUDI Tárcára, és automatikusan éles üzemre vált? Tekintse meg az eIDAS Pro menedzselt csomagjait, vagy olvassa el az OpenEUDI SDK-gyorsindítót.

Címkék

Életkor-ellenőrzésEUDI TárcaBiztonságNyílt forráskódOpenID4VPeIDAS 2SebezhetőségEU

Cikk megosztása

Segítsen másoknak megismerni az eIDAS-ellenőrzést

Kapcsolódó cikkek

Biztonság

Csalásmegelőzés: Hogyan szünteti meg az eIDAS a hamis igazolványokat és a személyazonosság-lopást

Fedezze fel, hogyan állítja meg az eIDAS-alapú személyazonosság-ellenőrzés a csalást a forrásánál kriptográfiai aláírások és kormányzati PKI segítségével, kiküszöbölve a hagyományos dokumentumalapú ellenőrzés sebezhetőségeit.

11 perc olvasás