{"id":323890,"date":"2026-04-18T18:00:15","date_gmt":"2026-04-18T16:00:15","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=323890"},"modified":"2026-04-19T01:10:22","modified_gmt":"2026-04-18T23:10:22","slug":"eu-app-zur-altersverifikation-in-2-stunden-gehackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/04\/18\/eu-app-zur-altersverifikation-in-2-stunden-gehackt\/","title":{"rendered":"EU-App zur Altersverifikation in 2 Stunden gehackt"},"content":{"rendered":"

\"StopDie EU-Kommission will ja eine App zur Altersverifikation durchsetzen, um den Jugendschutz im Internet gew\u00e4hrleisten zu k\u00f6nnen. Diese App wurde mit Aufwand entwickelt und EU-Kommissionspr\u00e4sidentin von der Leyen verk\u00fcndete, dass die Open Source-App jetzt technisch \"fertig\" sei und eine Alterspr\u00fcfung anonym erfolgen k\u00f6nnen – die App halte die weltweit h\u00f6chsten Datenschutzstandards ein. Ein Sicherheitsexperte brauchte laut eigener Aussage gerade einmal zwei Stunden, um die App zu hacken.<\/p>\n

<\/p>\n

Die EU-App zur Altersverifikation<\/h2>\n

\"\"Das Thema ist mir bereits die letzten Tage untergekommen. zum 15. April 2026 hat EU-Kommissionspr\u00e4sidentin Ursula von der Leyen die EU-App zur Altersverifikation vorgestellt (siehe dieses YouTube-Video<\/a>). Die Kollegen von Dr. Windows haben in diesem Beitrag<\/a> einige Informationen ver\u00f6ffentlicht. Ich greife mal die Tagesschau-Berichterstattung vom 15. April 2026 auf, die im Artikel Schutz f\u00fcr Kinder und Jugendliche EU-App zur Alterspr\u00fcfung im Internet kommt<\/a> \u00fcber das Thema berichtet. Es hei\u00dft, um den Jugendschutz im Internet zu verbessern, habe die EU eine App zur Altersverifizierung entwickelt. Die App soll anonym, nicht nachverfolgbar und auf allen Ger\u00e4ten nutzbar\u00a0 – und schon bald in allen 27 Mitgliedsstaaten verf\u00fcgbar – sein. Gegen\u00fcber der App l\u00e4sst sich das Alter per Dokument wie Personalausweis oder Reisepass nachweisen. Die App soll dann gegen\u00fcber Online-Netzwerke wie TikTok, Instagram und YouTube sowie anderen Internetseite im Hinblick auf den Jugendschutz nachweisen, dass die App-nutzende Person eine Altersgrenze\u00a0\u00fcberschritten hat.<\/p>\n

Lilith Wittman hatte sich in einer Serie von Tweets<\/a> bereits \u00fcber die Berichterstattung der Tagesschau und die EU-App zur Altersverifikation an sich ausgelassen.<\/p>\n

\"EU-Altersverifikations-App\"<\/a><\/p>\n

Wittmann kritisiert, dass die Aussagen der EU-Kommissionspr\u00e4sidentin von der Leyen\u00a0 schlicht Unsinn seien. Denn diese k\u00f6nne die Aussagen gar nicht treffen, da die Mitgliedstaaten die Funktionen zum Ausstellen der Credentials (also des Altersstatus) selbst implementieren. In Deutschland arbeitet laut Tagesschau eine von Bundesfamilienministerin Karin Prien (CDU) eingesetzte Expertenkommission an konkreten Handlungsempfehlungen zum \"Kinder- und Jugendschutz in der digitalen Welt\". Die Ergebnisse sollen im Sommer 2026 vorliegen.<\/p>\n

EU-App zur Altersverifikation in 2 Stunden gehackt<\/h2>\n

Security Consultant Paul Moore hat sich die App mal genauer angesehen und schreibt in nachfolgendem Tweet<\/a>, dass er die App zur Altersverifikation in unter zwei Stunden hacken konnte.<\/p>\n

\"EU-Altersverifikation\"<\/a><\/p>\n

In obigem Tweet zerlegt der Consultant die App und schreibt, dass diese den Nutzer w\u00e4hrend der Einrichtung auffordert, eine PIN zu erstellen. Nach der Eingabe verschl\u00fcsselt die App diese PIN und speichert das Ergebnis im Verzeichnis shared_prefs<\/em>. Paul Moore merkt folgendes an:<\/p>\n

    \n
  1. Die PIN sollte \u00fcberhaupt nicht verschl\u00fcsselt werden \u2013 das sei ein wirklich schlechtes Design.<\/li>\n
  2. Die PIN sei nicht kryptografisch mit dem Tresor verkn\u00fcpft, der die Identit\u00e4tsdaten enth\u00e4lt.<\/li>\n<\/ol>\n

    Ein Angreifer k\u00f6nne also einfach die Werte PinEnc<\/em> und PinIV<\/em> aus der shared_prefs<\/em>-Datei entfernen und die App neu starten. Nach der Auswahl einer anderen PIN pr\u00e4sentiere die App die unter dem alten Profil erstellten Anmeldedaten und l\u00e4sst einen Angreifer diese Daten als g\u00fcltig vorlegen. Dann weist Moore auf weitere Probleme hin:<\/p>\n

      \n
    1. Die Ratenbegrenzung f\u00fcr PIN-Eingaben ist eine inkrementierende Zahl in derselben Konfigurationsdatei. Setzt jemand diesen Wert einfach auf 0 zur\u00fcck, kann er beliebig oft versuchen, die PIN zu erraten.<\/li>\n
    2. Es gibt einen booleschen Wert UseBiometricAuth <\/em>in derselben Datei, die steuert, ob eine biometrische Authentifizierung (Fingerabdruck, Gesichtserkennung) erfolgen soll. Setzt jemand den Wert auf \"false\", und dieser Schritt zur Pr\u00fcfung wird einfach \u00fcbersprungen.<\/li>\n<\/ol>\n

      Der Sicherheits-Consultant meint, es sei nur eine Frage der Zeit, bis dieses\u00a0Produkt der Ausl\u00f6ser f\u00fcr einen massiven Sicherheitsversto\u00df sein werde. In einem weiteren Tweet<\/a> zitiert er EU-Kommissionspr\u00e4sidentin von der Leyen mit folgenden Aussagen \"The European <\/span>AgeVerification<\/span> app is technically ready. It respects the highest privacy standards in the world. It's open-source, so anyone can check the code…\".\u00a0<\/span><\/p>\n

      \"EU-Altersverifikation\"<\/a><\/p>\n

      Er hat den Aufruf, genau hinzuschauen, w\u00f6rtlich genommen und sehr schnell ein ernstes Datenschutzproblem gefunden.\u00a0Die App unternehme zwar gro\u00dfe Anstrengungen, um die Altersverifikationsdaten nach der Erfassung zu sch\u00fctzen (is_over_18: true wird mit AES-GCM verschl\u00fcsselt). Das funktioniere zwar ziemlich gut. Aber im Sinne \"vorne hui, hinten pfui\" werde das\u00a0Quellbild, das zur Erfassung dieser Altersverifikationsdaten verwendet werde, unverschl\u00fcsselt auf die Festplatte geschrieben und nicht ordnungsgem\u00e4\u00df gel\u00f6scht.<\/p>\n

      F\u00fcr die Erfassung biometrischer Daten per NFC-Schnittstelle weist der Sicherheitsexperte\u00a0 auf folgendes hin: Die App ruft DG2 ab und schreibt ein verlustfreies PNG in das Dateisystem. Das K\u00fcrzel \"DG 2\" steht hier f\u00fcr Datengruppe 2\u00a0auf dem kontaktlosen Chip des elektronischen Personalausweises oder Reisepasses. Diese Datengruppe enth\u00e4lt biometrische Daten, typischerweise das Gesichtsbild (Foto) des Inhabers.<\/p>\n

      Dieses Gesichtsbild werde\u00a0nur bei Erfolg gel\u00f6scht, schreibt Moore. Schl\u00e4gt der Vorgang aus irgendeinem Grund fehl (Benutzer klickt zur\u00fcck, Ausweis-Scan schl\u00e4gt fehl und wird wiederholt, App st\u00fcrzt ab usw.), verbleibt das vollst\u00e4ndige biometrische Bild im Cache des Ger\u00e4ts. Dieses ist auf Android-Ebene durch CE-Schl\u00fcssel gesch\u00fctzt, aber die App unternimmt keinen Versuch, diese zu verschl\u00fcsseln oder zu sch\u00fctzen.<\/p>\n

      Mit der App k\u00f6nnen auch\u00a0Selfie-Bilder erstellt werden. Diese Bilder werden laut Moore im verlustfreien PNG-Format auf den externen Speicher geschrieben, aber sie werden nie gel\u00f6scht. Diese Daten sind auf Android-Ebene mit DE-Schl\u00fcsseln gesch\u00fctzt, aber auch hier unternimmt die App keinen Versuch, sie zu verschl\u00fcsseln oder zu sch\u00fctzen.<\/p>\n

      Paul Moore schreibt dazu, dass dies so sei, als w\u00fcrde man mit der Kamera-App ein Foto seines Reisepasses oder Personalausweises machen und es f\u00fcr alle F\u00e4lle aufbewahren. \"Man kann die daraus gewonnenen Daten verschl\u00fcsseln, bis man blau im Gesicht ist. Das Originalbild auf der Festplatte zu belassen, ist verr\u00fcckt und unn\u00f6tig.\"<\/p>\n

      Aus Sicht der DSGVO weist Moore darauf hin, dass erfasste biometrische Daten zu den Daten besonderer Kategorien geh\u00f6ren. Wenn es keine rechtm\u00e4\u00dfige Grundlage gibt, sie nach der Verarbeitung aufzubewahren, ist das potenziell ein schwerwiegender Versto\u00df. Schert die App aber nicht. Politico hat in diesem Beitrag<\/a> noch einige Informationen zum Thema (in Englisch) zusammen gefasst; einen deutschsprachigen Beitrag mit einer weiteren \u00dcbersicht gibt es hier<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

      Die EU-Kommission will ja eine App zur Altersverifikation durchsetzen, um den Jugendschutz im Internet gew\u00e4hrleisten zu k\u00f6nnen. Diese App wurde mit Aufwand entwickelt und EU-Kommissionspr\u00e4sidentin von der Leyen verk\u00fcndete, dass die Open Source-App jetzt technisch \"fertig\" sei und eine Alterspr\u00fcfung … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8537,426,7459],"tags":[4346,24,4328],"class_list":["post-323890","post","type-post","status-publish","format-standard","hentry","category-problem","category-sicherheit","category-software","tag-app","tag-problem","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323890","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=323890"}],"version-history":[{"count":5,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323890\/revisions"}],"predecessor-version":[{"id":323900,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323890\/revisions\/323900"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=323890"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=323890"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=323890"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}