Slavná evropská aplikace na ochranu dětí má fatální trhlinu. Zkušený hacker ji prolomil za 2 minuty

Bezpečnostní konzultant Paul Moore předvedl, jak za necelé 2 minuty obejde PIN a převezme uložené údaje v evropské aplikaci pro ověřování věku dětí online.

Zdroj fotografie: Unsplash

Dne 15. dubna 2026 Evropská komise slavnostně oznámila, že její věková ověřovací aplikace je „technicky připravená“. O den později tiskový materiál mluvil rovnou o „finální EU aplikaci pro ověřování věku“. Jenže během hodin až dnů po spuštění se na síti X objevila veřejná demonstrace, ve které bezpečnostní konzultant Moore ukázal, že stačí lokální zásah do konfiguračních souborů Android demo buildu, smazání hodnot vázaných na PIN, restart a nastavení nového PINu, a útočník získá přístup ke všem dříve uloženým přihlašovacím údajům v zařízení. Celý proces trval méně než 120 sekund.

Co přesně je EU Age Verification app

Nejde o běžnou komerční aplikaci ke stažení. Komise vyvinula open-source referenční řešení, v dokumentaci označované jako „mini peněženka“, které si členské státy nebo soukromé subjekty mají vzít jako základ a postavit na něm vlastní národní verze. Princip je postaven na důkazu s nulovou znalostí: uživatel při registraci ověří věk přes biometrický pas, občanku, národní eID nebo bankovní aplikaci a výsledkem má být jen potvrzení typu „18+: ano/ne“. Žádné jméno, žádné datum narození, žádné další identifikátory sdílené s platformou.

Vývoj podpořil kontrakt se společnostmi Scytáles a T-Systems s rozpočtem čtyři miliony eur. Plán Komise zveřejnila 14. července 2025, pilotní nasazení běží v sedmi státech: Kypr, Dánsko, Francie, Řecko, Irsko, Itálie a Španělsko. Cíl je dostupnost napříč celou EU do konce roku 2026.

Dvě minuty, které odhalily rozpor

Mooreova demonstrace nebyla sofistikovaným vzdáleným útokem na centrální databázi. Šlo o lokální zásah s fyzickým přístupem k zařízení, editaci souborů preferencí v Android buildu, reset PINu a následné otevření dříve vytvořených přihlašovacích údajů. Právě proto to trvalo tak krátce: veřejný kód, bezpečnostní logika navázaná na editovatelné lokální soubory, žádný mechanismus vázaný na hardware.

Problém ale není jen v samotné chybě. Je v tom, co se dělo kolem:

• 15. dubna 2026 – Komise oznamuje, že aplikace je technicky připravená.
• 16. dubna – tiskový materiál mluví o „finální EU aplikaci pro ověřování věku“.
• 17. dubna – na GitHubu vychází nouzový release 2026.04-2 se „security hardening“.
• Konec dubna – v oficiálním backlogu se stále řeší redesign PINu s certifikáty vázanými na hardware, přesun fotografie z pasu pouze do paměti a hashování názvů souborů preferencí kvůli omezení úniků na disku.

Po celou tu dobu README repozitáře výslovně uvádělo, že jde o white-label referenční implementaci, která „není funkčně kompletní“ a vyžaduje další integrační práci před nasazením do produkce. Obrana „je to jen demo“ je technicky podložená. Politicky ale koliduje s komunikací při spuštění, která zněla jako hotový evropský produkt.

Český kontext: žádná panika, ale ani žádná jistota

Česko mezi sedmi pilotními státy nefiguruje. Podle monitorovací zprávy ČTÚ z dubna 2025 nemělo být používání aplikace povinné, ani pro uživatele, ani pro platformy. Kdo by českou verzi provozoval, nebylo tehdy veřejně potvrzeno. Digitální a informační agentura zároveň uvádí, že evropská digitální peněženka v ČR míří předběžně na závěr roku 2026, ale podmínkou je připravenost členského státu.

Pro české rodiče to znamená: žádná národní verze zatím neběží, žádný masový únik dat dětí nebyl potvrzen. Obava z technologické zralosti projektu je ale oprávněná, a právě proto stojí za to sledovat, jak se bezpečnostní audit vyvine, než se řešení dostane do českých telefonů.

Jak to dělají jinde: Austrálie a Británie bez jedné státní appky

Srovnání s dalšími zeměmi ukazuje, že jednotná státní aplikace není jediný model:

Země	Přístup	Klíčový princip
Austrálie	Zákon + regulátor eSafety + více metod	Sociální sítě musí ověřovat věk od 10. 12. 2025; stát nenařizuje jednu technologii
Británie	Ofcom + model zaměřený na výsledek	Platformy musí zajistit „vysoce účinné ověřování věku“; připouští open banking, foto-ID, odhadování věku z obličeje i kontroly mobilních operátorů
EU	Jedna referenční open-source appka pro členské státy	Jednotný standard, ale odpovědnost za nasazení přechází na stát nebo soukromý subjekt

Australský Age Assurance Technology Trial dospěl k závěru, že ověřování věku může být šetrné k soukromí a funkční, ale univerzální řešení neexistuje. Britský Ofcom zase výslovně odmítá vnucovat jednu konkrétní technologii, stanovuje výsledek, ne cestu.

Crash-test důvěryhodnosti

Dubnový incident není příběhem o hackerovi, který rozvrátil evropskou bezpečnost. Je to příběh o prvním veřejném crash-testu projektu, který má do konce roku pokrýt celou Unii, a o tom, jak politická komunikace předběhla technickou realitu. Komise sama požaduje, aby národní nasazení prošlo nezávislým ověřením kybernetické bezpečnosti třetí stranou. Po dubnu 2026 je jasné proč.