Die EU-Kommission hatte vor einer Woche eine App zur Altersverifikation veröffentlicht. Diese wurde von einem Sicherheits-Konsultant zerlegt und binnen 2 Minuten gehackt. Nun haben die Entwickler eine überarbeitete und "besser abgesicherte" Version der App nachgereicht. Ob es dieses Mal der perfekte Wurf ist? Oder kann man ein kaputtes Konzept überhaupt retten?
Rückblick: Desaster mit der EU-App zur Altersverifikation
Die EU-Kommission die Altersverifikation für den Zugriff auf Internetinhalte durchsetzen, um den Jugendschutz im Internet gewährleisten zu können. Dazu hatte die EU eine App zur Altersverifikation entwickeln lassen. Diese Altersprüfung soll per App anonym erfolgen können – die App halte die weltweit höchsten Datenschutzstandards ein, hieß es kürzlich von EU-Kommissionspräsidentin von der Leyen bei der Vorstellung.
Abgesehen vom Umstand, dass volljährige Dritte den Altersnachweis für die Daten für einen Jugendlichen auf dessen Gerät per App bereitstellen könnten, hatte die vorgelegte App haarsträubende Schwachstellen. Ein Sicherheits-Konsultant benötigte laut eigenen Angaben knapp zwei Minuten, um die App zu hacken und das Konzept zu zerlegen. Ich hatte einige Details im Blog-Beitrag EU-App zur Altersverifikation in 2 Minuten gehackt aufbereitet.
Neue App-Version, neues Glück?
Ich bin bereits zum 22. April 2026 auf den Tweet von Paul Moore (Security Consultant) gestoßen. Die EU-Kommission habe ein Update der App auf V2026.04-2 veröffentlicht, dass die Sicherheitsprobleme der ersten Version beheben soll, heißt es. Moore hatte bereits die obigen Sicherheitsprobleme in der ersten App-Version öffentlich gemacht. Nun fragt er sich nach einem Blick auf die gepatchte App, ob er lachen oder weinen soll? Er bezeichnet den "ersten Härtungsschritt" als Sicherheitstheater.
Im Tweet legt er dann los und plaudert aus dem Nähkästchen, was die Entwickler als "Härtungsmaßnahmen" da abgeliefert haben.
Daten auf Gerät und Einstellungen werden verschlüsselt
In der revidierten App-Version werden geräteinterne Daten, also Datenbank und Einstellungen im Ruhezustand verschlüsselt. Die Schlüssel sind sogar durch den hardwaregestützten Schlüsselspeicher des Geräts geschützt. Klingt doch richtig professional, die Entwickler haben verstanden?
Paul Moore stören bei diesem Ansatz nur ein paar Kleinigkeiten – kann man sicher patchen. Es wurden drei Abhängigkeiten zu folgenden Libraries:
- *http://androidx.security:security-crypto (gilt seit 2025 als veraltet)
- *http://androidx.security.crypto.EncryptedSharedPreferences (gilt seit 2025 als veraltet)
- *http://androidx.security.crypto.MasterKeys" (gilt seit 2020 als veraltet)
benutzt, die laut Moore bereits veraltet seien. Moore meint: Es wurden drei Abhängigkeiten zu veraltete Sicherheitsbibliotheken, nach Kritik an der schwachen Sicherheit der ersten App-Version, neu eingeführt. Also keine Überbleibsel von altem Zeugs, die bei einem Update übersehen wurden. Schlimmer noch, meint Moore, die Entwickler hätten den KeystoreController in ihrem Code bereits korrekt verwendet. Die richtige Lösung habe es bereits gegeben, und trotzdem hätten die Entwickler es falsch gemacht. Ein anderer Nutzer meint in einer Antwort auf X: "solche Abhängigkeiten sind ein klarer Hinweis auf Vibe-Coding".
Integrität des Geräts wird geprüft
Es wurde bereits in meinem oben erwähnten Blog-Beitrag von Lesern in Kommentaren erwähnt: Die Manipulation von Konfigurationsdaten in der Version 1.0 der App seit nur bei gerooteten Geräten möglich. Haben sich die Entwickler auch gedacht, und der App eine Integritätsprüfung spendiert. Die App überprüft beim Start die Integrität des Geräts und weigert sich, auf gerooteten oder jailbroken Geräten zu laufen.
Die Entwickler überprüfen nach dem Befehl "su", suchen im Paketmanager nach Root-Apps, führen "which su" aus und prüfen, ob es sich um ein Custom-ROM handelt, heißt es von Moore. Der Consultant meint: Bei Produktivbereitstellungen sollte dies durch strengere Mechanismen zur Geräteüberprüfung ergänzt werden, die den jeweiligen Infrastruktur- und Compliance-Anforderungen entsprechen. Im Tweet gibt Moore noch Pfade von Android-Verzeichnissen an, die geprüft werden. Im Jahr 2015 sei dies noch sinnvoll gewesen, mein Moore, in 2026 ließe sich das leicht umgehen. Also "weiße Salbe" drüber geschmiert.
Ausweis-Onboarding verbessert
In der ersten Version blieb der Ausweis zur Altersverifikation bei Fehlern während des Scans als .png-Datei auf dem Gerät zurück. Hier gab es einen echten Fortschritt, das Scannen ist jetzt stabiler, und die Ausweis-Scans werden jetzt ordnungsgemäß gelöscht. Das gescannte Passfoto soll, laut Entwickler, vertraulich gespeichert und gelöscht werden, sobald es nicht mehr benötigt wird. Dummerweise wird das Passfoto immer noch nicht verschlüsselt auf dem Gerät gespeichert, was zur Frage, was "vertraulich" bedeutet, führt.
Strengere PIN-Prüfregeln
Inzwischen enthält die App strengere Prüfregeln, die leicht zu erratende PINs verhindern. PINs werden salted und hashed, und niemals im Klartext gespeichert. Das ist richtig gut, und das Salten wird laut Moore auch korrekt durchgeführt (ein echter CSPRNG).
Dummerweise haben die Entwickler dazu PBKDF2-SHA256 verwendet, was veraltet ist und nur empfohlen wird, wenn FIPS-Konformität erforderlich ist, was hier nicht zutrifft, schreibt Moore. Der Consultant erweist sich als echte Spaßbremse, weilst er doch zusätzlich darauf hin, dass die Entwickler im Code nur 210.000 Iterationen verwenden (die OWASP-Empfehlung aus 2023 lautet für Passwörter mindestens 600.000 Iterationen zu verwenden). Moore hätte erwartet, dass 2026 zumindest ein moderner Hash mit angemessener Brute-Force-Resistenz verwendet wird.
Fazit des Sicherheitsexperten
Das Fazit, welches der Sicherheitsexperte zieht: Die "Härtungsmaßnahmen" seien Sicherheitstheater. Die grundsätzlichen Kritikpunkte lassen sich nicht durch Programmcode beheben. Das ganze Vorhaben sei von Grund auf schlecht konzipiert und mangelhaft umgesetzt.
In einem Folge-Tweet (siehe obiges Bild) zieht er den Schluss, dass die App-Entwickler, einmal davon abgesehen, dass sie eine sechs Jahre alte, veraltete Bibliothek verwendet haben, das Problem eigentlich überhaupt nicht gelöst hätten. Ein Angreifer kann Chiffretext genauso leicht löschen wie Klartext. Ironischerweise haben die Entwickler versucht, ein Problem zu lösen, das sie nicht wirklich verstehen, ähnlich wie das Konzept selbst. Also doch Vibe Coding?
Auf X gibt es dann eine Diskussion mit anderen Nutzern, wo Moore schließlich den Punkt setzt und meint, dass es nur zwei Möglichkeiten zur Lösung gibt:
- Sie hören bei der EU auf uns, ziehen das Konzept zurück und alle sind sicherer (sehr unwahrscheinlich),
- Oder sie machen trotzdem weiter, die Altersverifikation wird uns aufgezwungen und nach dem Patch sind alle ein bisschen sicherer.
Er meint abschließend, beide Möglichkeiten scheinen es wert zu sein, dafür zu kämpfen. Mal schauen, was wird. Inzwischen wird hier die Vermutung geäußert, dass das alles inszeniert wurde und andere Gründe hinter diesen "Schwachstellen" existieren.
MVP: 2013 – 2016
Der Titel des Artikels ist ja treffend. 👍
Statt dem Fragezeichen wäre ein Ausrufezeichen wohl passender. 😀
Diese App wird durchgesetzt werden, egal wie.
Sie ist der erste Schritt zur kompletten Vernagelung aller Geräte, Internetdienste und später auch physischen Zugänge zu Gesundheitsversorgung, Mobilität, Veranstaltungen, Ämtern usw. im Alltag.
Endzustand: Der gesamte Alltag wird alternativlos nur noch mit persönlicher digitaler Identität auf EUid Basis bestreitbar sein.
Und ja, die Leute werden das mit sich machen lassen. Der Frosch wird langsam gekocht.
…und alles unter dem Deckmantel des "Jugendschutzes". Klingt halt besser als "vollständige Identitätskontrolle".
Die App taugt nichts, weil hier nicht – wie propagiert – der Kinder- und Jugendschutz im Vordergrund steht, sondern der "Klarnamenzwang", die "De-Anonymisierung" Einzug erhält, wie sie Onkel Merz gefordert hat. Auch er ist ja ein Meister der Strafanzeigen, wenn es um "Majestätsbeleidigungen" geht.
Dauert nicht lange, dann haben wir das "Social-Scoring"-System hierzulande etabliert. Das, was wir China vorwerfen (sie aber nie umgesetzt haben). Aber Salami-Hinhalte-Ablenkungs-Taktik, da sind wir hier ja Experten drin.
Aber fokussieren wir uns weiterhin auf „Sicherheitslücken" der App und lassen das große Ganze außer Acht.
Eben! Der ganze technische "Krempel" ist doch nicht das eigentliche Problem! Sondern, was aus der ganzen Sache für uns alle folgt:
Anlasslose Speicherung der IP-Adressen für drei Monate wurde nun auch beschlossen … Demnächst folgt der ""freiwillige" Digitale €uro" (der dann nach einiger Zeit verpflichtend werden wird) und das Bargeld wird ja eh schon seit Jahren schrittweise abgeschafft und von den entsprechenden Protagonisten schlecht geredet und bekämpft … Das alles in Kombination, erschafft die komplette Durchleuchtung und Deanonymisierung von jedem Bürger. Und viele unkritische Bürger liefern dann über die diversen "Spar-Apps" auch noch z. B. ihre Lebensmitteleinkaufsdaten "Frei Haus" gleich mit, nur um ein paar €uronen zu sparen. Und alles wird uns immer unter Kinder- & Jugendschutz und Kriminalitätsbekämpfung verkauft. Und alles ist ja immer nur zu unserem Besten. Natürlich, ganz klar, so wird es sein und ist es …
Die ganze Sache scheint längst "durch zu sein"! Unsere Freiheit stirbt seit einigen Jahren schon nicht mehr zentimeterweise (>> Zitat von Guido Westerwelle) sondern inzwischen sind es jährlich gleich mehrere Meter! Und der größte Teil (nein, nicht alle und auch nicht gerade wenige, aber leider halt doch ZU wenige) merkt es nicht, kapiert es nicht und – und das sind die Schlimmsten – bejubelt das alles auch noch, findet es richtig gut und macht voller Freude mit!
Anhören: https[:]//www.youtube.com/watch?v=rOwILMG6oxI
Wäre ein IRIS-Scan nicht die perfekte Lösung?
Kurz nach der Geburt eines jeden Babys wird dessen IRIS gescannt und zusammen mit dem Geburtsdatum in Datenbanken gespeichert.
Am Smartphone muss man einfach nur mal in die Kamera schauen und anhand der IRIS und mit einer Datenbankabfrage ist die Altersschwelle dann geklärt. Dabei muss die Datenbank das konkrete Geburtsdatum nichtmal freigeben.
Die tatsächliche Identität im Sinne von Name oder Bürger-ID-Nummer ist damit auch nicht unbedingt verknüpft.
Das könnte man zwar auch in der Datenbank speichern, aber man könnte es bei einem reinen Alterscheck gegen Abfrage sperren.
Ein IRIS-Check hätte auch andere Vorteile, denn man bräuchte keine Ausweise, Führerscheindokumente, Bankkarten, Kreditkarten, Fahrkarten, Konzertkarten.
Alles solche Dokumente wären überflüssig und deswegen würde sich das IRIS-Verfahren schnell durchsetzen.
Nein, denn der ist nicht bei allen Menschen möglich.
Beispielsweise bei Menschen mit Aniridie funktioniert ein Iris-Scan nicht, weil die keine Iris haben.
Auch gibt es diverse Augenkrankheiten, bei denen sich die Iris verändert.
Und bei Kindern unter 6 Jahren ist ein Iris-Scan nicht zuverlässig, da sich die Iris noch verändert.
Und bei Säuglingen unter 9 Monaten sind die Änderungen sogar noch rel stark.
Und Smartphone-Kameras sind zum Iris-Scan auch nicht wirklich brauchbar.
Deine Idee ist also nicht praxistauglich.
ich mag technischen Pragmatismus von @R.S. – daran hab auch ich nicht gedacht. Es gibt keine perfekten technischen Lösungen…
Dann halt DNA Test; zur Authentifikation musst dein Finger in ein Gerät stecken welches dir ein Tropfen Blut entnimmt ;-P
Es soll aber unbedingt verknüpft werden und in Datenbanken alles lesbar sein.
Du hast aus Versehen den Sinn der Salamischeibe "Altersprüfung" erkannt, der noch viele Scheiben folgen werden.
Digitale ID eindeutig durch Biometrie Merkmale oder ggf. denkbar auch durch implantierten Chip, wie seit Jahrzehnten bei Haustieren? Man wird sehen. Eher als man denkt.
Ein guter Awareness-Artikel. Eine Betrachtung fehlt mir (thx @Bolko). Die generellle Eignung oder Machbarkeit einer Altersverifikation. Unabhängig der technischen Eignung einer APP gehe ich einher mit GB's Artikel und leicht erkennbarer Ironie.
Es stellt sich für mich jedoch grundsätzlich die Frage, ob – wie zB hier als PDF auf über 100 Seiten diskutiert – eine Altersverifikation in einer Demokratie überhaupt legitim umsetzbar ist. Heise hatte dies 2024 hier zum Thema: Nein.
Mainstream will Alterskontrolle Medienwirksam verschärfen. CSAM, Kinderschutz, Terror oder Weltrettung. Keiner kann (empirisch, kausal, wissenschaftlich …haltbar) die Wirksamkeit und Funktion belegen. Ebenso erwähnenswert: Der "Ansatz" vom "Age Assurance, Technology Trial, Part" A bis C aus August 2025 vom Australischer Regierung (Gibt es als PDF. Wird derzeit global verteilt und zitiert – zB von Mexiko als PDF hier. Jede Verifikation und Versuche seit 2024/25 sind nur bedingt valide.
Man kann also nicht jedes Problem technisch oder per APP lösen. Es fehlen bessere Ansätze:
Oder wollt Ihr Eure Identität bis zum Iris-Scan (! perfide Idee @Bolko, lass es keinen lesen, die machen das…) zum Besuch des WWW preisgeben?? Ich hoste dann die Datenbanken für 500 Millionen pro Land – und werde reich (ick koan dat, ick vertell dia oak Basic).
Na stell einfach das Internet ab und nur wer sich Identifiziert bekommt wieder Zugang… Was glaubts du wohl was die Leute machen werden? Sich schön brav identifizieren! Und komm jetzt nicht mit: das wäre nicht mölglich! Die Frage ist da eher ist das noch rechtsstaatlich möglich? Aber das kann man ja ändern!
Die 10 Gebote sind in Stein gemeiselt, aber das weis man mittlerweilen ist nur eine Lüge ;-P Alles andere ist jederzeit änderbar, wenn man bereit ist es durchzusetzen.
Schwierig ist, das Plattformen sich 'soweit ich das verstanden habe', die eineindeutige ID der Anwender speichern könnten, und somit eine eineindeutige Identifizierung möglich würde. Denkbar wären daraus dann auch 'globale' Schufa-Datenbanken' mit User-Klassifikationen …
Letztendlicher Sinn und Zweck dieser Dinge ist die eineindeutige digitale Identifizierung für alles was man im Netz oder auch im Alltag macht oder machen darf. Dahin führt die Reise, manche merken es schon, manche noch nicht.
Ist unlängst seit Jahren möglich und wird auch praktiziert, nur nicht propagiert.
Vergiss die Anonymität im Internet, die gibt es nicht. Jedwedes modernes, elektronisches Gerät, welches Du nutzt, identifiziert Dich eindeutig.
Ist ja nicht mehr zum aushalten, da hilft nur noch Sarkasumus und eine Offline Film- und Musiksammlung
Ab 1:20 https://www.youtube.com/watch?v=iR8T1h3_jps
Willkommen in meiner Welt. Deine Empfehlung setze ich bereits seit 2005 um. Bin bis an mein Lebensende versorgt. ^^