A Europa acaba de desenvolver a sua aplicação de verificação de idade. Infelizmente, este aplicativo, apresentado como “tecnicamente pronto”, está repleto de vulnerabilidades preocupantes. Para um pesquisador, o aplicativo corre o risco de causar um “vazamento massivo de dados” em algum momento.
Esta semana, a Comissão Europeia anunciou a chegada do seu aplicativo de verificação de idade para plataformas online. Tal como explicado por Ursula von der Leyen, Presidente da Comissão Europeia, a aplicação está agora “tecnicamente pronto”. Desenvolvido em colaboração com sete países membros, incluindo a França, deve ser integrado em carteiras nacionais de identidade digital já existentes. No papel, o aplicativo permite que um usuário da Internet provar que ele é adulto para uma plataforma sem transmitir seus dados pessoais.
“Os usuários comprovarão sua idade sem revelar qualquer outra informação pessoal. É completamente anônimo. O usuário não pode ser rastreado »declarou Ursula von der Leyen, enfatizando que “Resta agora integrá-lo nas nossas soluções em desenvolvimento e tornar obrigatória a verificação da idade através destas ferramentas de acesso às redes sociais”.
Na sequência do anúncio, Ursula von der Leyen sublinhou que a aplicação estava código aberto. Publicado rapidamente online no Github, o código do aplicativo pode ser visualizado por qualquer especialista em segurança de TI. O Presidente da Comissão também convidou todos os investigadores a analisar esta questão.
Leia também: Reddit também está mudando para verificação de identidade, tomando cuidado para não criar um Discord
Um “sério problema de privacidade”
Foi isso que o consultor de segurança cibernética Paul Moore fez. Na sua conta X, o pesquisador indica que tem examinado todo o código-fonte da aplicação… e que tem “Não demorou muito para descobrirmos o que parecia ser um sério problema de privacidade”. O especialista explica ter descoberto uma falha que lhe permitiu hackear o aplicativo “em menos de 2 minutos”.
.@vonderleyen “O europeu #AgeVerification o aplicativo está tecnicamente pronto. Respeita os mais altos padrões de privacidade do mundo. É de código aberto, então qualquer pessoa pode verificar o código…”
Eu fiz. Não demorou muito para descobrir o que parecia ser um problema sério #privacidade emitir.
O aplicativo vai muito bem… pic.twitter.com/z8SYc3YBKJ
— Paul Moore – Consultor de Segurança (@Paul_Reviews) 15 de abril de 2026
Ao configurar o app, o usuário cria um PIN. Este PIN é criptografado e armazenado em um arquivo de configuração simples, que representa um grande erro de segurança cibernética. Segundo o consultor, o código PIN não deve ser armazenado como está. Somente a impressão matemática deste PIN, o que chamamos de hash, deve ser armazenada pela aplicação no arquivo de configuração. Este processo evita que o código PIN caia em mãos erradas.
Tal como está, o aplicativo permite que um invasor acesse os dados do usuário. Concretamente, um invasor que exclua o PIN do arquivo de configuração pode simplesmente peça ao aplicativo para criar um novo. O aplicativo dá acesso imediato aos dados de identidade da vítima, sem qualquer verificação adicional.
Ignorar #UE #AgeVerification usando sua própria infraestrutura.
Transferi a lógica do aplicativo Android para uma extensão do Chrome – eliminando a etapa incômoda de entregar dados biométricos que eles podem vazar… e passar na verificação instantaneamente.
Etapa 1: instale a extensão
Etapa 2:… https://t.co/9zSony8Em4 pic.twitter.com/a5oQnf0n2Y— Paul Moore – Consultor de Segurança (@Paul_Reviews) 16 de abril de 2026
Dados sensíveis colocados em risco
Isso não é tudo. O pesquisador também percebeu imagens biométricas desprotegidas no aplicativo europeu de verificação de idade. Depois de determinar que você tem idade suficiente, o aplicativo criptografa essas informações de maneira bastante resiliente. Deste lado, tudo funciona conforme o esperado. Foi a montante que foram identificadas falhas de segurança óbvias.
Para determinar a idade do usuário, o aplicativo precisa escanear seu documento de identificação e coletar uma selfie. Essas imagens devem ser excluídas assim que a verificação de idade for concluída. Ao digitalizar seu passaporte, o aplicativo copia sua foto oficial e a armazena temporariamente em seu telefone. Normalmente, deve ser limpo assim que todas as verificações forem concluídas. Mas se algo der errado no caminho, se o usuário voltar atrás, a verificação não for concluída ou o aplicativo travar, esta foto permanece no seu dispositivo indefinidamentesem nunca ser excluído. Na verdade, a foto está no cache, ao alcance de um possível ataque cibernético.
Insano, inútil e “fundamentalmente falho”
Para selfies é ainda mais preocupante, indica a consultora. Essas fotos não ficam armazenadas em um cache temporário, mas diretamente no armazenamento do smartphone. Eles não são nunca excluídomesmo quando tudo está indo bem. Isso é “louco e inútil” para o pesquisador. Em teoria, as selfies estão ao alcance dos hackers que conseguiram penetrar no smartphone. Este aplicativo é o “catalisador de um vazamento massivo de dados”. Como salienta Paul Moore, isto é potencialmente uma violação da Regulamento Geral de Proteção de Dados (RGPD).
O conceito do aplicativo “é fundamentalmente falho”resume o pesquisador. Podemos apostar que a Comissão Europeia irá analisar as diversas vulnerabilidades identificadas por Paul Moore e corrigir a situação antes do lançamento oficial da aplicação. Na verdade, isso ainda não é oferecido nas lojas de aplicativos oficiais, como a App Store ou a Play Store. Embora tecnicamente pronto, o aplicativo ainda está em fase de produção.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.