Slavná evropská aplikace na ochranu dětí má fatální trhlinu. Zkušený hacker ji prolomil za 2 minuty
6. 5. 2026 – 8:58 | Partnerské články | mobify.cz
Bezpečnostní konzultant Paul Moore předvedl, jak za necelé 2 minuty obejde PIN a převezme uložené údaje v evropské aplikaci pro ověřování věku dětí online.
Obsah článku
Dne 15. dubna 2026 Evropská komise slavnostně oznámila, že její věková ověřovací aplikace je „technicky připravená“. O den později tiskový materiál mluvil rovnou o „finální EU aplikaci pro ověřování věku“. Jenže během hodin až dnů po spuštění se na síti X objevila veřejná demonstrace, ve které bezpečnostní konzultant Moore ukázal, že stačí lokální zásah do konfiguračních souborů Android demo buildu, smazání hodnot vázaných na PIN, restart a nastavení nového PINu, a útočník získá přístup ke všem dříve uloženým přihlašovacím údajům v zařízení. Celý proces trval méně než 120 sekund.
Co přesně je EU Age Verification app
Nejde o běžnou komerční aplikaci ke stažení. Komise vyvinula open-source referenční řešení, v dokumentaci označované jako „mini peněženka“, které si členské státy nebo soukromé subjekty mají vzít jako základ a postavit na něm vlastní národní verze. Princip je postaven na důkazu s nulovou znalostí: uživatel při registraci ověří věk přes biometrický pas, občanku, národní eID nebo bankovní aplikaci a výsledkem má být jen potvrzení typu „18+: ano/ne“. Žádné jméno, žádné datum narození, žádné další identifikátory sdílené s platformou.
Vývoj podpořil kontrakt se společnostmi Scytáles a T-Systems s rozpočtem čtyři miliony eur. Plán Komise zveřejnila 14. července 2025, pilotní nasazení běží v sedmi státech: Kypr, Dánsko, Francie, Řecko, Irsko, Itálie a Španělsko. Cíl je dostupnost napříč celou EU do konce roku 2026.
Dvě minuty, které odhalily rozpor
Mooreova demonstrace nebyla sofistikovaným vzdáleným útokem na centrální databázi. Šlo o lokální zásah s fyzickým přístupem k zařízení, editaci souborů preferencí v Android buildu, reset PINu a následné otevření dříve vytvořených přihlašovacích údajů. Právě proto to trvalo tak krátce: veřejný kód, bezpečnostní logika navázaná na editovatelné lokální soubory, žádný mechanismus vázaný na hardware.
Problém ale není jen v samotné chybě. Je v tom, co se dělo kolem:
- 15. dubna 2026 – Komise oznamuje, že aplikace je technicky připravená.
- 16. dubna – tiskový materiál mluví o „finální EU aplikaci pro ověřování věku“.
- 17. dubna – na GitHubu vychází nouzový release 2026.04-2 se „security hardening“.
- Konec dubna – v oficiálním backlogu se stále řeší redesign PINu s certifikáty vázanými na hardware, přesun fotografie z pasu pouze do paměti a hashování názvů souborů preferencí kvůli omezení úniků na disku.
Po celou tu dobu README repozitáře výslovně uvádělo, že jde o white-label referenční implementaci, která „není funkčně kompletní“ a vyžaduje další integrační práci před nasazením do produkce. Obrana „je to jen demo“ je technicky podložená. Politicky ale koliduje s komunikací při spuštění, která zněla jako hotový evropský produkt.
Český kontext: žádná panika, ale ani žádná jistota
Česko mezi sedmi pilotními státy nefiguruje. Podle monitorovací zprávy ČTÚ z dubna 2025 nemělo být používání aplikace povinné, ani pro uživatele, ani pro platformy. Kdo by českou verzi provozoval, nebylo tehdy veřejně potvrzeno. Digitální a informační agentura zároveň uvádí, že evropská digitální peněženka v ČR míří předběžně na závěr roku 2026, ale podmínkou je připravenost členského státu.
Pro české rodiče to znamená: žádná národní verze zatím neběží, žádný masový únik dat dětí nebyl potvrzen. Obava z technologické zralosti projektu je ale oprávněná, a právě proto stojí za to sledovat, jak se bezpečnostní audit vyvine, než se řešení dostane do českých telefonů.
Jak to dělají jinde: Austrálie a Británie bez jedné státní appky
Srovnání s dalšími zeměmi ukazuje, že jednotná státní aplikace není jediný model:
| Země | Přístup | Klíčový princip |
|---|---|---|
| Austrálie | Zákon + regulátor eSafety + více metod | Sociální sítě musí ověřovat věk od 10. 12. 2025; stát nenařizuje jednu technologii |
| Británie | Ofcom + model zaměřený na výsledek | Platformy musí zajistit „vysoce účinné ověřování věku“; připouští open banking, foto-ID, odhadování věku z obličeje i kontroly mobilních operátorů |
| EU | Jedna referenční open-source appka pro členské státy | Jednotný standard, ale odpovědnost za nasazení přechází na stát nebo soukromý subjekt |
Australský Age Assurance Technology Trial dospěl k závěru, že ověřování věku může být šetrné k soukromí a funkční, ale univerzální řešení neexistuje. Britský Ofcom zase výslovně odmítá vnucovat jednu konkrétní technologii, stanovuje výsledek, ne cestu.
Crash-test důvěryhodnosti
Dubnový incident není příběhem o hackerovi, který rozvrátil evropskou bezpečnost. Je to příběh o prvním veřejném crash-testu projektu, který má do konce roku pokrýt celou Unii, a o tom, jak politická komunikace předběhla technickou realitu. Komise sama požaduje, aby národní nasazení prošlo nezávislým ověřením kybernetické bezpečnosti třetí stranou. Po dubnu 2026 je jasné proč.
Zdroj: Mobify.cz - Váš párťák ve světě elektroniky
Autor: Oliver Cerman