Komisja Europejska przedstawiła aplikację do weryfikacji wieku z deklarowaną pełną anonimowością, jednak już dwa dni po premierze specjalista ds. bezpieczeństwa zademonstrował możliwość obejścia zabezpieczeń, co wywołało gwałtowną reakcję ze strony szefa Telegramu Pawła Durova.
Aplikacja z naciskiem na prywatność
14 kwietnia 2026 roku Komisja Europejska opublikowała oficjalne oświadczenie o uruchomieniu aplikacji do potwierdzania wieku użytkowników w internecie. Zgodnie z opisem, narzędzie umożliwia przejście weryfikacji wieku bez ujawniania dodatkowych danych osobowych. Użytkownik może pobrać aplikację, skonfigurować ją przy użyciu paszportu lub dowodu osobistego, a następnie potwierdzać wiek przy dostępie do platform internetowych.
Programiści podkreślają kluczowe cechy rozwiązania:
pełna anonimowość bez możliwości śledzenia działań użytkownika;
wsparcie dla wszystkich typów urządzeń — smartfonów, tabletów i komputerów;
otwarty kod źródłowy, dostępny do weryfikacji i modyfikacji;
integracja z krajowymi cyfrowymi portfelami.
Francja, Dania, Grecja, Włochy, Hiszpania, Cypr i Irlandia już ogłosiły plany wdrożenia technologii w swoich systemach. Inne kraje i platformy internetowe również otrzymały możliwość wykorzystania tego rozwiązania.
Luka na poziomie architektury
16 kwietnia specjalista ds. cyberbezpieczeństwa Paul Moore zaprezentował sposób obejścia zabezpieczeń aplikacji. W opublikowanej analizie pokazał, że wystarczy uzyskać dostęp do pliku shared preferences na urządzeniu, aby usunąć wartości zaszyfrowanego kodu PIN, zresetować licznik prób logowania i wyłączyć wymóg biometrycznej autoryzacji.
Po wykonaniu tych działań i ponownym uruchomieniu aplikacji użytkownik może ustawić nowy kod PIN i uzyskać dostęp do już potwierdzonych danych o wieku. Moore podkreślił, że mowa o wersji demonstracyjnej — tzw. reference implementation, przeznaczonej do testowania i adaptacji przez programistów w krajach UE.
Jednak kluczowy wniosek eksperta polega na tym, że problem nie jest przypadkowym błędem implementacji. Według niego, luka jest zakorzeniona w samej architekturze, ponieważ system ufa urządzeniu użytkownika, co otwiera możliwości manipulacji na lokalnym poziomie.
Reakcja Pawła Durowa
17 kwietnia szef Telegramu Durow skrytykował sytuację w sieci społecznościowej X. W swoim komunikacie stwierdził: «Aplikacja do weryfikacji wieku, którą UE chce narzucić światu, została zhackowana w ciągu dwóch minut».
W następnym poście dodał, że problem ma charakter fundamentalny: system z założenia ufa urządzeniu użytkownika, co czyni go podatnym na ataki na poziomie architektury.
Durow również przedstawił możliwy scenariusz rozwoju sytuacji:
prezentacja rozwiązania z deklarowaną ochroną prywatności, ale z lukami;
publiczny hack systemu;
rewizja architektury z obniżeniem poziomu prywatności pod pretekstem wzmocnienia bezpieczeństwa.
Według niego, efektem może być narzędzie nadzoru, które będzie się prezentować jako rozwiązanie szanujące prywatność użytkowników.
#Telegram #Durov #Privacy #Write2Earn
