- WIADOMOŚCI
Unijną weryfikację wieku wciąż da się ominąć?
Autor. CyberDefence24/Canva
Unijną aplikację do weryfikacji wieku nadal da się ominąć – stwierdził badacz cyberbezpieczeństwa Paul Moore. Po blisko trzech miesiącach prac od ogłoszenia przez Ursulę von der Leyen gotowości pod względem technicznym, złamanie mechanizmu wciąż jest możliwe. Zdaniem Moore’a, do eliminacji problemu potrzebna jest całkowita przebudowa rozwiązania.
Sprawa weryfikacji wieku użytkowników w sieci sięga wielu lat wstecz; stosowana obecnie metoda deklaratywna jest określana m.in. przez polityków jako fikcja. Lepszym sposobem do potwierdzenia wieku ma być opracowany przez Unię Europejską mechanizm wchodzący w skład Europejskiego Portfela Tożsamości Cyfrowej.
Wersję demonstracyjną aplikacji zaprezentowała Komisja Europejska w kwietniu tego roku; według deklaracji posłów KO ze stycznia, ma ona być wykorzystana do ograniczenia najmłodszym dostępu do mediów społecznościowych. Jak opisywaliśmy na naszych łamach, eksperci cyberbezpieczeństwa bardzo szybko ujawnili błędy, które umożliwiały obejście mechanizmu przez użytkownika. Kontrastowało to ze stwierdzeniem przewodniczącej KE Ursuli von der Leyen, że aplikacja „jest technicznie gotowa”.
Mechanizm nadal da się obejść
Od tego czasu, deweloperzy aplikacji wprowadzili około 2,4 tys. zmian. W poniedziałek 13 lipca, w swoim przemówieniu von der Leyen przypomniała o potrzebie wprowadzenia ograniczeń wiekowych w dostępie do platform; do tego ma służyć unijna aplikacja.
Aplikacja jest prosta w użyciu, otwartoźródłowa i umożliwia zachowanie prywatności. Dzięki niej, kontrola wraca do rąk rodziców.
Ursula von der Leyen, przewodnicząca Komisji Europejskiej
Ursula von der Leyen potwierdza kierunek, w którym dostęp do mediów społecznościowych będzie uzależniony od identyfikacji za pomocą unijnej aplikacji lub równoważnego, zatwierdzonego systemu uwierzytelniania. Ponieważ platforma nie może z góry wiedzieć, kto jest dzieckiem, w…
— Łukasz Olejnik (@prywatnik) July 15, 2026
Zaledwie dzień po wystąpieniu szefowej KE, badacz Paul Moore zaprezentował w poście na X (dawnym Twitterze) kolejny sposób obejścia wersji 2026.07-1 mechanizmu zbudowanego przez UE przy pomocy przeglądarki Chrome. Specjalne rozszerzenie, które nie wykorzystuje kluczy sprzętowych, biometrii ani dowodu tożsamości, przekazało zgodnie z założeniami informację o wieku – i została ona bezproblemowo zaakceptowana.
Bypassing the latest #EU #ageVerification app (2026.07-1) with a Chrome extension... again.
— Paul Moore - Security Consultant (@Paul_Reviews) July 14, 2026
Despite 3 months of security hardening and genuine improvements across the board, the fundamental issue cannot be solved.
Anonymous age verification doesn't work. https://t.co/NSfvuQAeXz pic.twitter.com/hwRTxiZiwZ
Usunięcie błędu wymaga przebudowy mechanizmu
Według opisu Moore’a, dodatek został stworzony przy pomocy Claude AI w ciągu „kilku minut”; ograniczenie przekazywanych danych jedynie do wieku użytkownika sprawia, że podczas weryfikacji wieku nie można wykryć złośliwego działania. Ekspert zwrócił również uwagę na fundamentalny błąd w kodzie aplikacji: sprawdzenie warunku jednorazowego wykorzystania danych odbywa się po stronieklienta, a nieserwera. Pozwala to na wielokrotne wykorzystanie tego samego pakietu danych do potwierdzenia wieku, wbrew unijnym założeniom mówiącym o konieczności generowania nowego przy każdym skorzystaniu.
To nie jest błąd. To wada projektu, której nie da się naprawić za pomocą poprawki, chyba że zmienią architekturę. Spowodowałoby to zniesienie anonimowości każdej sesji.
Paul Moore, badacz cyberbezpieczeństwa
Notes:
— Paul Moore - Security Consultant (@Paul_Reviews) July 14, 2026
This PoC was created entirely by #ClaudeAI in a matter of minutes.
Don't focus on enrolment (that part is invalid in a test environment). Instead, focus on the presentation and the fact the verifier has *absolutely no information* other than an "over 18" attestation, so…
Załatają, czy porzucą?
Część użytkowników stwierdziła, że istnieje kilka dróg rozwiązania tego problemu, o których twórcy mają wiedzieć, a także o możliwości załatania podatności poprzez dodanie jednorazowego tokenu. Z drugiej strony pojawił się m.in. głos, który ironicznie wyraził zdziwienie, że „prototypowa wersja opublikowana do identyfikowania dziur przez użytkowników posiada dziury”.
Wśród komentarzy pojawiła się również teoria, że aplikacja została zaprojektowana w ten sposób celowo. Dzięki temu, Komisja Europejska mogłaby ogłosić fiasko anonimowej metody i konieczność identyfikacji wszystkich „dla dobra dzieci”.
„To nieunikniona droga eskalacji” – podsumował w odpowiedzi Moore.
Spot on.
— Paul Moore - Security Consultant (@Paul_Reviews) July 16, 2026
That's the inevitable escalation path.



Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].