Sága okolo dlho očakávanej európskej aplikácie na overovanie veku pokračuje. Po tom, čo sa na internete objavili videá demonštrujúce jej bleskové obídenie, vývojári 17. apríla 2026 vydali vlnu opráv. Predsedníčka Európskej komisie Ursula von der Leyen minulý týždeň vyhlásila, že aplikácia je „technicky pripravená“ a spĺňa tie najvyššie štandardy ochrany súkromia. Avšak pre komunitu kyberbezpečnostných expertov je realita oveľa trpkejšia.
Čo sa zmenilo v novej verzii?
Vývojári sa zamerali na najpálčivejšie body, ktoré kritici predtým rozniesli na kopytách. Podľa oficiálnej dokumentácie by mali byť dáta v zariadení šifrované a chránené hardvérovým kľúčom zariadenia. To by malo zabrániť jednoduchému prezeraniu nastavení cez upravené súbory.
- Detekcia rootu: Aplikácia po novom kontroluje integritu zariadenia a odmieta sa spustiť na „rootnutých“ alebo „jailbreaknutých“ telefónoch.
- Ochrana pasov: Proces skenovania NFC je stabilnejší a fotka pasu sa po porovnaní biometrie okamžite maže, aby v pamäti nezostávali citlivé údaje.
- Zabezpečenie PIN kódu: Kódy sú po novom „osolené“ (salted) a hashované, čo má zabrániť ich jednoduchému prepísaniu v konfiguračných súboroch.
Práve prepisovanie PIN kódu bolo jadrom virálneho videa Paula Moora, ktorý pôvodnú verziu aplikácie obišiel za menej ako dve minúty.
Expert vrací úder: Zastarané knižnice a rok 2015
Reakcia Paula Moora na novú aktualizáciu nenechala na seba dlho čakať a jeho verdikt na sieti X bol zdrvujúci. Moore upozornil, že „revolučné“ šifrovanie v aplikácii stojí na knižniciach, ktoré sú už dávno po expirácii.
„Úprimne, neviem, či sa mám smiať alebo plakať. Špičkové zabezpečenie, ktoré má chrániť celú EÚ, využíva knižnice ako androidx.security:security-crypto a MasterKeys, ktoré sú od roku 2025, resp. 2020 označené za zastarané (deprecated).“
Ešte horšie dopadla detekcia rootu. Podľa Moora aplikácia kontroluje len základné cesty k binárnym súborom a známym aplikáciám ako SuperSU. Táto technika bola adekvátna v roku 2015, no v roku 2026 ju moderné nástroje na skrytie rootu obídu bez akéhokoľvek úsilia. Moore tiež skritizoval implementáciu PIN kódu – hoci používa správny algoritmus PBKDF2-SHA256, počet iterácií (210 000) je podľa neho nastavený na nesprávnu normu a nezodpovedá hrozbám súčasnosti.
Prehnaná panika alebo oprávnená kritika?
Nie všetci odborníci však zdieľajú Moorov pesimizmus. Miłosz Gaczkowski, špecialista na bezpečnosť mobilných aplikácií, uviedol, že hoci sú zraniteľnosti reálne, vyvolaná panika je neúmerná skutočnému riziku. Argumentuje tým, že aj keby niekto PIN kód obišiel, nezíska prístup k žiadnym osobným údajom používateľa. Jediné, čo útočník dosiahne, je, že sa na webe pre dospelých identifikuje ako 18-ročný.
Moore však kontruje dôležitým postrehom o hrozbovom modeli. Problémom nie je externý hacker, ktorý vám ukradne telefón. Problémom je samotný používateľ – napríklad neplnoletý tínedžer, ktorý chce systém obísť na svojom vlastnom zariadení. V takom prípade sú súčasné ochrany podľa neho len „čistým bezpečnostným divadlom“, ktoré sa dá poľahky obísť.
