Avrupa Birliği'nin Yaş Doğrulama Uygulaması 2 Dakikada Hacklendi

Avrupa Birliği'nin 14 Nisan 2026'da büyük bir tanıtımla duyurduğu yaş doğrulama uygulaması, yayımlanmasının ardından saatler içinde güvenlik araştırmacılarının hedefine girdi. Uygulamayı inceleyen uzmanlardan Paul Moore, sistemi 2 dakikanın altında bir sürede aşmayı başardığını açıkladı.

AB Komisyonu Başkanı Ursula von der Leyen uygulamayı "teknik olarak hazır" ve "en yüksek gizlilik standartlarıyla uyumlu" şeklinde tanıtmıştı. Ancak Birleşik Krallık merkezli güvenlik danışmanı Moore, kurulum sırasında oluşturulan PIN kodunun şifrelenerek cihazın shared_prefs dizininde saklandığını, bu tasarımın ise temelden kusurlu olduğunu gösterdi.

Moore'un tespitlerine göre iki kritik zafiyet var. Birincisi, PIN'in şifrelenmesi zaten gereksiz; ikincisi, şifrelenmiş değerler kimlik verilerini barındıran kasa (vault) ile kriptografik olarak bağlı değil. Saldırgan, shared_prefs dosyasındaki PinEnc ve PinIV değerlerini silip uygulamayı yeniden başlatıyor. Ardından yeni bir PIN belirleyerek eski profil altında oluşturulmuş 18+ kimlik bilgilerini sanki kendisininmiş gibi sunabiliyor.

Sorunlar bununla da sınırlı değil. Hız sınırlaması (rate limit) aynı yapılandırma dosyasındaki bir sayaçtan ibaret olduğu için sıfırlanıp tekrar denenebiliyor. "UseBiometricAuth" değerinin true'dan false'a çevrilmesi ise biyometrik doğrulamayı tamamen atlamaya yetiyor. Moore doğrudan von der Leyen'i etiketleyerek ürünün "er ya da geç büyük bir veri sızıntısının fitili" olacağını savundu.

Telegram CEO'su Pavel Durov da tartışmaya dahil oldu ve uygulamanın "tasarım gereği hacklenebilir" olduğunu, cihaza tamamen güvenen bir mimarinin baştan yenilgi anlamına geldiğini söyledi. Fransa, İspanya ve Danimarka gibi altı AB ülkesinde pilot uygulaması süren sistem için Avrupa Komisyonu henüz resmi bir yama ya da açıklama yayımlamadı. Uygulamanın GitHub sayfasındaki README dosyasında "erken geliştirme sürümü" ibaresinin bulunması ise tartışmaya ayrı bir boyut kattı.

Kaynak: Paul Moore'un X paylaşımı