Die EU-Kommission hatte vor einer Woche eine App zur Altersverifikation veröffentlicht. Diese wurde von einem Sicherheits-Konsultant zerlegt und binnen 2 Minuten gehackt. Nun haben die Entwickler eine überarbeitete und "besser abgesicherte" Version der App nachgereicht. Ob es dieses Mal der perfekte Wurf ist? Oder kann man ein kaputtes Konzept überhaupt retten?
Rückblick: Desaster mit der EU-App zur Altersverifikation
Die EU-Kommission die Altersverifikation für den Zugriff auf Internetinhalte durchsetzen, um den Jugendschutz im Internet gewährleisten zu können. Dazu hatte die EU eine App zur Altersverifikation entwickeln lassen. Diese Altersprüfung soll per App anonym erfolgen können – die App halte die weltweit höchsten Datenschutzstandards ein, hieß es kürzlich von EU-Kommissionspräsidentin von der Leyen bei der Vorstellung.
Abgesehen vom Umstand, dass volljährige Dritte den Altersnachweis für die Daten für einen Jugendlichen auf dessen Gerät per App bereitstellen könnten, hatte die vorgelegte App haarsträubende Schwachstellen. Ein Sicherheits-Konsultant benötigte laut eigenen Angaben knapp zwei Minuten, um die App zu hacken und das Konzept zu zerlegen. Ich hatte einige Details im Blog-Beitrag EU-App zur Altersverifikation in 2 Minuten gehackt aufbereitet.
Neue App-Version, neues Glück?
Ich bin bereits zum 22. April 2026 auf den Tweet von Paul Moore (Security Consultant) gestoßen. Die EU-Kommission habe ein Update der App auf V2026.04-2 veröffentlicht, dass die Sicherheitsprobleme der ersten Version beheben soll, heißt es. Moore hatte bereits die obigen Sicherheitsprobleme in der ersten App-Version öffentlich gemacht. Nun fragt er sich nach einem Blick auf die gepatchte App, ob er lachen oder weinen soll? Er bezeichnet den "ersten Härtungsschritt" als Sicherheitstheater.
Im Tweet legt er dann los und plaudert aus dem Nähkästchen, was die Entwickler als "Härtungsmaßnahmen" da abgeliefert haben.
Daten auf Gerät und Einstellungen werden verschlüsselt
In der revidierten App-Version werden geräteinterne Daten, also Datenbank und Einstellungen im Ruhezustand verschlüsselt. Die Schlüssel sind sogar durch den hardwaregestützten Schlüsselspeicher des Geräts geschützt. Klingt doch richtig professional, die Entwickler haben verstanden?
Paul Moore stören bei diesem Ansatz nur ein paar Kleinigkeiten – kann man sicher patchen. Es wurden drei Abhängigkeiten zu folgenden Libraries:
- *http://androidx.security:security-crypto (gilt seit 2025 als veraltet)
- *http://androidx.security.crypto.EncryptedSharedPreferences (gilt seit 2025 als veraltet)
- *http://androidx.security.crypto.MasterKeys" (gilt seit 2020 als veraltet)
benutzt, die laut Moore bereits veraltet seien. Moore meint: Es wurden drei Abhängigkeiten zu veraltete Sicherheitsbibliotheken, nach Kritik an der schwachen Sicherheit der ersten App-Version, neu eingeführt. Also keine Überbleibsel von altem Zeugs, die bei einem Update übersehen wurden. Schlimmer noch, meint Moore, die Entwickler hätten den KeystoreController in ihrem Code bereits korrekt verwendet. Die richtige Lösung habe es bereits gegeben, und trotzdem hätten die Entwickler es falsch gemacht. Ein anderer Nutzer meint in einer Antwort auf X: "solche Abhängigkeiten sind ein klarer Hinweis auf Vibe-Coding".
Integrität des Geräts wird geprüft
Es wurde bereits in meinem oben erwähnten Blog-Beitrag von Lesern in Kommentaren erwähnt: Die Manipulation von Konfigurationsdaten in der Version 1.0 der App seit nur bei gerooteten Geräten möglich. Haben sich die Entwickler auch gedacht, und der App eine Integritätsprüfung spendiert. Die App überprüft beim Start die Integrität des Geräts und weigert sich, auf gerooteten oder jailbroken Geräten zu laufen.
Die Entwickler überprüfen nach dem Befehl "su", suchen im Paketmanager nach Root-Apps, führen "which su" aus und prüfen, ob es sich um ein Custom-ROM handelt, heißt es von Moore. Der Consultant meint: Bei Produktivbereitstellungen sollte dies durch strengere Mechanismen zur Geräteüberprüfung ergänzt werden, die den jeweiligen Infrastruktur- und Compliance-Anforderungen entsprechen. Im Tweet gibt Moore noch Pfade von Android-Verzeichnissen an, die geprüft werden. Im Jahr 2015 sei dies noch sinnvoll gewesen, mein Moore, in 2026 ließe sich das leicht umgehen. Also "weiße Salbe" drüber geschmiert.
Ausweis-Onboarding verbessert
In der ersten Version blieb der Ausweis zur Altersverifikation bei Fehlern während des Scans als .png-Datei auf dem Gerät zurück. Hier gab es einen echten Fortschritt, das Scannen ist jetzt stabiler, und die Ausweis-Scans werden jetzt ordnungsgemäß gelöscht. Das gescannte Passfoto soll, laut Entwickler, vertraulich gespeichert und gelöscht werden, sobald es nicht mehr benötigt wird. Dummerweise wird das Passfoto immer noch nicht verschlüsselt auf dem Gerät gespeichert, was zur Frage, was "vertraulich" bedeutet, führt.
Strengere PIN-Prüfregeln
Inzwischen enthält die App strengere Prüfregeln, die leicht zu erratende PINs verhindern. PINs werden salted und hashed, und niemals im Klartext gespeichert. Das ist richtig gut, und das Salten wird laut Moore auch korrekt durchgeführt (ein echter CSPRNG).
Dummerweise haben die Entwickler dazu PBKDF2-SHA256 verwendet, was veraltet ist und nur empfohlen wird, wenn FIPS-Konformität erforderlich ist, was hier nicht zutrifft, schreibt Moore. Der Consultant erweist sich als echte Spaßbremse, weilst er doch zusätzlich darauf hin, dass die Entwickler im Code nur 210.000 Iterationen verwenden (die OWASP-Empfehlung aus 2023 lautet für Passwörter mindestens 600.000 Iterationen zu verwenden). Moore hätte erwartet, dass 2026 zumindest ein moderner Hash mit angemessener Brute-Force-Resistenz verwendet wird.
Fazit des Sicherheitsexperten
Das Fazit, welches der Sicherheitsexperte zieht: Die "Härtungsmaßnahmen" seien Sicherheitstheater. Die grundsätzlichen Kritikpunkte lassen sich nicht durch Programmcode beheben. Das ganze Vorhaben sei von Grund auf schlecht konzipiert und mangelhaft umgesetzt.
In einem Folge-Tweet (siehe obiges Bild) zieht er den Schluss, dass die App-Entwickler, einmal davon abgesehen, dass sie eine sechs Jahre alte, veraltete Bibliothek verwendet haben, das Problem eigentlich überhaupt nicht gelöst hätten. Ein Angreifer kann Chiffretext genauso leicht löschen wie Klartext. Ironischerweise haben die Entwickler versucht, ein Problem zu lösen, das sie nicht wirklich verstehen, ähnlich wie das Konzept selbst. Also doch Vibe Coding?
Auf X gibt es dann eine Diskussion mit anderen Nutzern, wo Moore schließlich den Punkt setzt und meint, dass es nur zwei Möglichkeiten zur Lösung gibt:
- Sie hören bei der EU auf uns, ziehen das Konzept zurück und alle sind sicherer (sehr unwahrscheinlich),
- Oder sie machen trotzdem weiter, die Altersverifikation wird uns aufgezwungen und nach dem Patch sind alle ein bisschen sicherer.
Er meint abschließend, beide Möglichkeiten scheinen es wert zu sein, dafür zu kämpfen. Mal schauen, was wird.
MVP: 2013 – 2016
Der Titel des Artikels ist ja treffend. 👍
Statt dem Fragezeichen wäre ein Ausrufezeichen wohl passender. 😀
Diese App wird durchgesetzt werden, egal wie.
Sie ist der erste Schritt zur kompletten Vernagelung aller Geräte, Internetdienste und später auch physischen Zugänge zu Gesundheitsversorgung, Mobilität, Veranstaltungen, Ämtern usw. im Alltag.
Endzustand: Der gesamte Alltag wird alternativlos nur noch mit persönlicher digitaler Identität auf EUid Basis bestreitbar sein.
Und ja, die Leute werden das mit sich machen lassen. Der Frosch wird langsam gekocht.
Die App taugt nichts, weil hier nicht – wie propagiert – der Kinder- und Jugendschutz im Vordergrund steht, sondern der "Klarnamenzwang", die "De-Anonymisierung" Einzug erhält, wie sie Onkel Merz gefordert hat. Auch er ist ja ein Meister der Strafanzeigen, wenn es um "Majestätsbeleidigungen" geht.
Dauert nicht lange, dann haben wir das "Social-Scoring"-System hierzulande etabliert. Das, was wir China vorwerfen (sie aber nie umgesetzt haben). Aber Salami-Hinhalte-Ablenkungs-Taktik, da sind wir hier ja Experten drin.
Aber fokussieren wir uns weiterhin auf „Sicherheitslücken" der App und lassen das große Ganze außer Acht.
Wäre ein IRIS-Scan nicht die perfekte Lösung?
Kurz nach der Geburt eines jeden Babys wird dessen IRIS gescannt und zusammen mit dem Geburtsdatum in Datenbanken gespeichert.
Am Smartphone muss man einfach nur mal in die Kamera schauen und anhand der IRIS und mit einer Datenbankabfrage ist die Altersschwelle dann geklärt. Dabei muss die Datenbank das konkrete Geburtsdatum nichtmal freigeben.
Die tatsächliche Identität im Sinne von Name oder Bürger-ID-Nummer ist damit auch nicht unbedingt verknüpft.
Das könnte man zwar auch in der Datenbank speichern, aber man könnte es bei einem reinen Alterscheck gegen Abfrage sperren.
Ein IRIS-Check hätte auch andere Vorteile, denn man bräuchte keine Ausweise, Führerscheindokumente, Bankkarten, Kreditkarten, Fahrkarten, Konzertkarten.
Alles solche Dokumente wären überflüssig und deswegen würde sich das IRIS-Verfahren schnell durchsetzen.
Ein guter Awareness-Artikel. Eine Betrachtung fehlt mir (thx @Bolko). Die generellle Eignung oder Machbarkeit einer Altersverifikation. Unabhängig der technischen Eignung einer APP gehe ich einher mit GB's Artikel und leicht erkennbarer Ironie.
Es stellt sich für mich jedoch grundsätzlich die Frage, ob – wie zB hier als PDF auf über 100 Seiten diskutiert – eine Altersverifikation in einer Demokratie überhaupt legitim umsetzbar ist. Heise hatte dies 2024 hier zum Thema: Nein.
Mainstream will Alterskontrolle Medienwirksam verschärfen. CSAM, Kinderschutz, Terror oder Weltrettung. Keiner kann (empirisch, kausal, wissenschaftlich …haltbar) die Wirksamkeit und Funktion belegen. Ebenso erwähnenswert: Der "Ansatz" vom "Age Assurance, Technology Trial, Part" A bis C aus August 2025 vom Australischer Regierung (Gibt es als PDF. Wird derzeit global verteilt und zitiert – zB von Mexiko als PDF hier. Jede Verifikation und Versuche seit 2024/25 sind nur bedingt valide.
Man kann also nicht jedes Problem technisch oder per APP lösen. Es fehlen bessere Ansätze:
Oder wollt Ihr Eure Identität bis zum Iris-Scan (! perfide Idee @Bolko, lass es keinen lesen, die machen das…) zum Besuch des WWW preisgeben?? Ich hoste dann die Datenbanken für 500 Millionen pro Land – und werde reich (ick koan dat, ick vertell dia oak Basic).