EU-App zur Altersverifikation in 2 Stunden gehackt

Veröffentlicht am 18. April 2026 von Günter Born

Stop - PixabayDie EU-Kommission will ja eine App zur Altersverifikation durchsetzen, um den Jugendschutz im Internet gewährleisten zu können. Diese App wurde mit Aufwand entwickelt und EU-Kommissionspräsidentin von der Leyen verkündete, dass die Open Source-App jetzt technisch "fertig" sei und eine Altersprüfung anonym erfolgen können – die App halte die weltweit höchsten Datenschutzstandards ein. Ein Sicherheitsexperte brauchte laut eigener Aussage gerade einmal zwei Stunden, um die App zu hacken.

Die EU-App zur Altersverifikation

Das Thema ist mir bereits die letzten Tage untergekommen. zum 15. April 2026 hat EU-Kommissionspräsidentin Ursula von der Leyen die EU-App zur Altersverifikation vorgestellt (siehe dieses YouTube-Video). Die Kollegen von Dr. Windows haben in diesem Beitrag einige Informationen veröffentlicht. Ich greife mal die Tagesschau-Berichterstattung vom 15. April 2026 auf, die im Artikel Schutz für Kinder und Jugendliche EU-App zur Altersprüfung im Internet kommt über das Thema berichtet. Es heißt, um den Jugendschutz im Internet zu verbessern, habe die EU eine App zur Altersverifizierung entwickelt. Die App soll anonym, nicht nachverfolgbar und auf allen Geräten nutzbar  – und schon bald in allen 27 Mitgliedsstaaten verfügbar – sein. Gegenüber der App lässt sich das Alter per Dokument wie Personalausweis oder Reisepass nachweisen. Die App soll dann gegenüber Online-Netzwerke wie TikTok, Instagram und YouTube sowie anderen Internetseite im Hinblick auf den Jugendschutz nachweisen, dass die App-nutzende Person eine Altersgrenze überschritten hat.

Lilith Wittman hatte sich in einer Serie von Tweets bereits über die Berichterstattung der Tagesschau und die EU-App zur Altersverifikation an sich ausgelassen.

EU-Altersverifikations-App

Wittmann kritisiert, dass die Aussagen der EU-Kommissionspräsidentin von der Leyen  schlicht Unsinn seien. Denn diese könne die Aussagen gar nicht treffen, da die Mitgliedstaaten die Funktionen zum Ausstellen der Credentials (also des Altersstatus) selbst implementieren. In Deutschland arbeitet laut Tagesschau eine von Bundesfamilienministerin Karin Prien (CDU) eingesetzte Expertenkommission an konkreten Handlungsempfehlungen zum "Kinder- und Jugendschutz in der digitalen Welt". Die Ergebnisse sollen im Sommer 2026 vorliegen.

EU-App zur Altersverifikation in 2 Stunden gehackt

Security Consultant Paul Moore hat sich die App mal genauer angesehen und schreibt in nachfolgendem Tweet, dass er die App zur Altersverifikation in unter zwei Stunden hacken konnte.

EU-Altersverifikation

In obigem Tweet zerlegt der Consultant die App und schreibt, dass diese den Nutzer während der Einrichtung auffordert, eine PIN zu erstellen. Nach der Eingabe verschlüsselt die App diese PIN und speichert das Ergebnis im Verzeichnis shared_prefs. Paul Moore merkt folgendes an:

  1. Die PIN sollte überhaupt nicht verschlüsselt werden – das sei ein wirklich schlechtes Design.
  2. Die PIN sei nicht kryptografisch mit dem Tresor verknüpft, der die Identitätsdaten enthält.

Ein Angreifer könne also einfach die Werte PinEnc und PinIV aus der shared_prefs-Datei entfernen und die App neu starten. Nach der Auswahl einer anderen PIN präsentiere die App die unter dem alten Profil erstellten Anmeldedaten und lässt einen Angreifer diese Daten als gültig vorlegen. Dann weist Moore auf weitere Probleme hin:

  1. Die Ratenbegrenzung für PIN-Eingaben ist eine inkrementierende Zahl in derselben Konfigurationsdatei. Setzt jemand diesen Wert einfach auf 0 zurück, kann er beliebig oft versuchen, die PIN zu erraten.
  2. Es gibt einen booleschen Wert UseBiometricAuth in derselben Datei, die steuert, ob eine biometrische Authentifizierung (Fingerabdruck, Gesichtserkennung) erfolgen soll. Setzt jemand den Wert auf "false", und dieser Schritt zur Prüfung wird einfach übersprungen.

Der Sicherheits-Consultant meint, es sei nur eine Frage der Zeit, bis dieses Produkt der Auslöser für einen massiven Sicherheitsverstoß sein werde. In einem weiteren Tweet zitiert er EU-Kommissionspräsidentin von der Leyen mit folgenden Aussagen "The European AgeVerification app is technically ready. It respects the highest privacy standards in the world. It's open-source, so anyone can check the code…". 

EU-Altersverifikation

Er hat den Aufruf, genau hinzuschauen, wörtlich genommen und sehr schnell ein ernstes Datenschutzproblem gefunden. Die App unternehme zwar große Anstrengungen, um die Altersverifikationsdaten nach der Erfassung zu schützen (is_over_18: true wird mit AES-GCM verschlüsselt). Das funktioniere zwar ziemlich gut. Aber im Sinne "vorne hui, hinten pfui" werde das Quellbild, das zur Erfassung dieser Altersverifikationsdaten verwendet werde, unverschlüsselt auf die Festplatte geschrieben und nicht ordnungsgemäß gelöscht.

Für die Erfassung biometrischer Daten per NFC-Schnittstelle weist der Sicherheitsexperte  auf folgendes hin: Die App ruft DG2 ab und schreibt ein verlustfreies PNG in das Dateisystem. Das Kürzel "DG 2" steht hier für Datengruppe 2 auf dem kontaktlosen Chip des elektronischen Personalausweises oder Reisepasses. Diese Datengruppe enthält biometrische Daten, typischerweise das Gesichtsbild (Foto) des Inhabers.

Dieses Gesichtsbild werde nur bei Erfolg gelöscht, schreibt Moore. Schlägt der Vorgang aus irgendeinem Grund fehl (Benutzer klickt zurück, Ausweis-Scan schlägt fehl und wird wiederholt, App stürzt ab usw.), verbleibt das vollständige biometrische Bild im Cache des Geräts. Dieses ist auf Android-Ebene durch CE-Schlüssel geschützt, aber die App unternimmt keinen Versuch, diese zu verschlüsseln oder zu schützen.

Mit der App können auch Selfie-Bilder erstellt werden. Diese Bilder werden laut Moore im verlustfreien PNG-Format auf den externen Speicher geschrieben, aber sie werden nie gelöscht. Diese Daten sind auf Android-Ebene mit DE-Schlüsseln geschützt, aber auch hier unternimmt die App keinen Versuch, sie zu verschlüsseln oder zu schützen.

Paul Moore schreibt dazu, dass dies so sei, als würde man mit der Kamera-App ein Foto seines Reisepasses oder Personalausweises machen und es für alle Fälle aufbewahren. "Man kann die daraus gewonnenen Daten verschlüsseln, bis man blau im Gesicht ist. Das Originalbild auf der Festplatte zu belassen, ist verrückt und unnötig."

Aus Sicht der DSGVO weist Moore darauf hin, dass erfasste biometrische Daten zu den Daten besonderer Kategorien gehören. Wenn es keine rechtmäßige Grundlage gibt, sie nach der Verarbeitung aufzubewahren, ist das potenziell ein schwerwiegender Verstoß. Schert die App aber nicht. Politico hat in diesem Beitrag noch einige Informationen zum Thema (in Englisch) zusammen gefasst; einen deutschsprachigen Beitrag mit einer weiteren Übersicht gibt es hier.

Dieser Beitrag wurde unter Problem, Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.