15 апреля 2026 года Европейская комиссия объявила о готовности нового официального приложения для верификации возраста в интернете. Урсула фон дер Ляйен лично представила разработку, заявив, что оно соответствует "высочайшим стандартам конфиденциальности". Приложение должно помочь защитить несовершеннолетних от вредоносного контента в социальных сетях.
Технически всё выглядело убедительно: сканирование паспорта или ID-карты, биометрическая верификация через видеосэлфи, обработка данных исключительно на устройстве пользователя без передачи на внешние серверы. Открытый исходный код, совместимость с будущим европейским цифровым кошельком EUDI. Идея - доказать факт совершеннолетия, не раскрывая никаких персональных данных.
2 минуты - и вся защита снята
Уже через несколько часов после официального анонса британский исследователь безопасности Пол Мур опубликовал демонстрацию полного обхода аутентификации. Время, затраченное на взлом: менее двух минут.
Метод оказался пугающе простым. Счётчик защиты от подбора PIN-кода хранится в обычном текстовом файле конфигурации как целое число - его можно обнулить вручную в любой момент. Биометрическая проверка реализована как булевый флаг в том же файле - достаточно переключить в false, и шаг полностью пропускается. Удаление двух значений (PinEnc и PinIV) и перезапуск приложения открывают доступ к чужому профилю идентификации.
Никаких сложных инструментов, никаких уязвимостей нулевого дня - только текстовый редактор и несколько секунд времени. Мартовский аудит безопасности также показал, что компонент-эмитент приложения не может проверить, действительно ли верификация паспорта происходила на устройстве пользователя - что открывает дополнительные векторы атаки.
Дуров: взлом заложен в архитектуру
Основатель Telegram Павел Дуров прокомментировал ситуацию в своём канале. По его словам, приложение оказалось взламываемым по замыслу - полное доверие к локальному устройству делает любую защиту иллюзорной. Система, которая хранит критические параметры безопасности в редактируемых текстовых файлах, не может считаться защищённой по определению.
Дуров также выразил более серьёзное опасение: провал запуска может стать удобным предлогом для властей ЕС, чтобы переработать приложение в сторону централизованной проверки. То есть создать инфраструктуру, при которой каждый визит на сайт будет фиксироваться на государственных серверах. Из инструмента защиты детей система рискует превратиться в механизм тотального контроля за интернет-активностью граждан.
Дуров ранее критиковал аналогичные инициативы - испанский закон об обязательной проверке возраста в соцсетях он назвал шагом к "государству слежки", а план ЕС по обязательному сканированию личных сообщений (Chat Control) - прямой угрозой тайне переписки.
Более широкий контекст
Проект верификации возраста - часть масштабной цифровой повестки ЕС. До конца 2026 года все страны-члены обязаны внедрить национальные версии европейского цифрового кошелька по регламенту eIDAS 2.0. Приложение для проверки возраста задумывалось как первый публичный шаг к единой цифровой идентификации граждан Евросоюза.
Критики давно указывали: любая система, требующая подтверждения личности для доступа к контенту, неизбежно создаёт инфраструктуру наблюдения - независимо от намерений разработчиков. Взлом за 2 минуты лишь подтвердил, что техническое исполнение не соответствует декларируемым амбициям.
На момент публикации официального ответа от Европейской комиссии не поступало. Обновлений безопасности также не выходило.
Дополнительные уязвимости - нарушение GDPR
Анализ выявил и другие проблемы. Фотографии лица из документов, удостоверяющих личность, сохраняются на устройстве как незашифрованные PNG-файлы. Биометрические селфи, сделанные при верификации, записываются во внешнее хранилище и никогда не удаляются. Исследователь также показал, что браузерное расширение способно подделывать валидные ответы верификации, полностью обходя приложение. Это прямо противоречит официальному заявлению о том, что "персональные данные не хранятся" - и поднимает серьёзные вопросы о соответствии требованиям GDPR.
Примечательная деталь: в официальном репозитории GitHub приложения содержится предупреждение о том, что это "ранняя разработка" с заниженными стандартами безопасности и что использование в продакшне не рекомендуется. Это предупреждение было там во время торжественного анонса Урсулы фон дер Ляйен.
Источники: Пост Дурова в Telegram, Cybernews, CyberSecurityNews, PiunikaWeb, CyberInsider, Biometric Update
