Det tog dem två minuter att hacka EU-appen för minderåriga. Det är inte så allvarligt som det verkar
I mitten av veckan meddelade EU att man hade färdigt sitt verktyg för att verifiera ålder på internet. Det lade på bordet en lösning för att bevisa identitet vid åtkomst till onlinetjänster, och slutligen förena en kontrollmetod för minderåriga. På bara 48 timmar har någon redan hackat applikationen, men det finns ett knep.
Vad har hänt? Paul Moore, cybersäkerhetskonsult, visar i X sårbarheterna i appen som EU lovade att ha klar. Specifikt ber appen oss att skapa en PIN-kod med fyra till sex siffror för att skydda vår identitet.
En pin i teorin krypterad och sparad i en fil. Moore har upptäckt att, åtminstone i den version av appen som han har kunnat testa, kan krypterings-PIN-koden raderas från filen och den tidigare konfigurerade profilen kan matas in. Med andra ord behöver du bara ta bort en kodrad för att komma åt data.
Vad är felet? Appen, trots att EU anger att den redan var klar, krypterar för närvarande inte denna PIN-kod. Inte heller är inloggningsuppgifterna kopplade till en specifik PIN-kod så att, om någon försöker ändra eller radera den, kan vår data inte nås.
Han påpekar också att, åtminstone just nu, litar appen för mycket data på en redigerbar fil. Om en angripare kommer åt den är det ganska lätt för dem att kringgå appens skyddslager och använda någon annans identitet. Det avslutas med att visa hur skyldigheten att använda biometri är en boolesk variabel (sant eller falsk), som kan ändras genom att ändra "falskt" och "sant" i den redigerbara filen.
Varför det finns ett trick.
Det finns ett avstånd från att säga till att göra, och EU har lanserat en trippel genom att se till att dess app "nu är klar". Den version som konsulten har haft tillgång till är inte den slutgiltiga, det är en demoversion där säkerhetsskikten ännu inte har lagts till. Förutom att de är mindre buggar är de strukturella fel som inte ens borde finnas i en initial version.
Kontroversen uppstår när Ursula von der Leyen försäkrar att appen är "tekniskt redo", presenterar den på en presskonferens och timmar senare får man veta att den fortfarande är i testfasen. I Xataka Vi har ett problem med minderåriga som vape nivå: det finns företag som vill installera en ålder verifierare för dem Varför är det viktigt. Trots att det är en förproduktionsversion hjälper hacket oss att få en uppfattning om appens funktion och gränssnitt, samt de möjliga begränsningar den kan ha på säkerhetsnivån.
Det skulle faktiskt inte vara första gången som en app från EU eller den spanska administrationen har haft allvarliga säkerhetsincidenter. Den 30 januari samma år upptäckte Europeiska kommissionen tecken på att dess plattform för hantering av mobila enheter (där den lagrar sina anställdas data) hade äventyrats, och Radar COVID föddes i Spanien utan att följa RGPD.
Vad har tipsat oss. Den första versionen av åldersverifieringsappen visar oss ett enkelt gränssnitt där vi, efter att ha angett PIN-koden, har tre verifieringsmetoder. Genom vårt ID Genom pass Genom en QR-kod Appen har fyra sektioner: välkomst, samtycke, säkerhet (PIN) och verifiering.
Apputvecklarna kommer att ansvara för att integrera denna europeiska lösning i sina appar och trots Von der Leyens glöd finns det fortfarande inget datum för dess ankomst. I Xataka | Är det dags att avsluta anonymiteten? Argumenten för och emot den pelare som internet har byggts på
Originalkälla
Publicerad av Xataka
17 april 2026, 12:46
Denna artikel har översatts automatiskt från spanska. Klicka på länken ovan för att läsa originaltexten.
Visa originaltext (spanska)
Rubrik
Han tardado dos minutos en hackear la app de la UE para menores de edad. No es tan grave como parece
Beskrivning
A mitad de semana, la UE anunciaba que ya tenía lista su herramienta para verificar la edad en internet. Ponía sobre la mesa una solución para acreditar identidad a la hora de acceder a servicios en línea, y unificar por fin un método de control para los menores. En apenas 48h ya hay quien ha hackeado la aplicación, pero tiene truco. Qué ha pasado. Paul Moore, consultor de ciberseguridad, muestra en X las vulnerabilidades de la app que la Unión Europea prometía tener lista. En concreto, la app nos pide crear un PIN de cuatro a seis dígitos para proteger nuestra identidad. Un pin en teoría cifrado y guardado en un fichero. Moore ha descubierto que, al menos en la versión de la app que ha podido probar, puede borrarse el PIN de cifrado del fichero y entrar al perfil previamente configurado. En otras palabras, basta con borrar una línea de código para acceder a los datos. Cuál es el fallo. La app, a pesar de que la UE apunta a que ya estaba lista, actualmente no cifra este PIN. Tampoco se ligan las credenciales a un PIN concreto para que, en caso de que alguien intente cambiarlo o eliminarlo, no se pueda acceder a nuestros datos. Apunta asimismo a que, al menos ahora mismo, la app confía demasiados datos a un fichero editable. Si un atacante accede al mismo, lo tiene bastante fácil para saltarse las capas de protección de la app y utilizar la identidad de otra persona. Termina mostrando cómo la obligación de usar biometría es un variable booleana (verdadero o falso), modificable cambiando "false" y "true" en el archivo editable. {"videoId":"x9nrwk0","autoplay":false,"title":"UE App Android Verificación Edad", "tag":"europa", "duration":"41"} Por qué hay truco. Del dicho al hecho hay un trecho, y la Unión Europea ha lanzado un triple al asegurar que su app "ya está lista". La versión a la que el consultor ha tenido acceso no es la final, es una versión demo en la que las capas de seguridad aún no han sido añadidas. Más allá de ser bugs menores, son errores estructurales que ni siquiera deberían estar presentes en una versión inicial. La polémica surge al asegurar Ursula von der Leyen que la app está "técnicamente lista", presentarla en una rueda de prensa, y horas después conocerse que aún está en fase de pruebas. En Xataka Tenemos un problema con los menores que vapean nivel: hay empresas que quieren instalarles un verificador de edad Por qué es importante. Pese a ser una versión pre-producción, el hackeo nos ayuda a hacernos una idea del funcionamiento e interfaz de la app, así como las posibles limitaciones con las que puede contar a nivel de seguridad. De hecho, no sería la primera vez en la que una app de la UE o la administración española ha tenido graves incidentes de seguridad. El 30 de enero de este mismo año, la Comisión Europea detectó indicios de que su plataforma de gestión de dispositivos móviles (en la que almacenan datos de sus empleados) había sido comprometida, y Radar COVID nació en España sin cumplir el RGPD. Lo que nos ha chivado. La versión inicial de la app de verificación de edad nos muestra una interfaz sencilla en la que, tras introducir el PIN, tenemos tres métodos de verificación. Mediante nuestro DNIMediante pasaporteMediante un código QRLa app tiene cuatro apartados: bienvenida, consentimiento, seguridad (PIN) y verificación. Serán los desarrolladores de las apps los responsables de integrar esta solución europea en sus apps y, a pesar del fervor de Von der Leyen, aún no hay fecha para su llegada. En Xataka | ¿Es hora de acabar con el anonimato? Los argumentos a favor y en contra del pilar sobre el que se ha construido internet (function() { window._JS_MODULES = window._JS_MODULES || {}; var headElement = document.getElementsByTagName('head')[0]; if (_JS_MODULES.instagram) { var instagramScript = document.createElement('script'); instagramScript.src = 'https://platform.instagram.com/en_US/embeds.js'; instagramScript.async = true; instagramScript.defer = true; headElement.appendChild(instagramScript); } })(); - La noticia Han tardado dos minutos en hackear la app de la UE para menores de edad. No es tan grave como parece fue publicada originalmente en Xataka por Ricardo Aguilar .
