Ainda não foi lançada e já encontraram falhas na app de verificação de idade da UE

Ursula von der Leyen anunciou oficialmente que a carteira digital da União Europeia está pronta para ser implementada em breve. Isso alargou uma barreira criptográfica impenetrável para proteger os menores. O problema é que um investigador independente demorou muito pouco tempo a desmentir toda esta narrativa.

Falhas na app de verificação de idade

De acordo com um artigo da International Cyber ​​​​Digest no X, o consultor Paul Moore conseguiu violar a segurança desta ferramenta em apenas alguns minutos, explorando o seu código aberto. Longe de exigir ataques sofisticados, este especialista demonstrou que qualquer pessoa com conhecimentos técnicos mínimos pode comprometer o sistema, manipulando a sua configuração local.

É importante compreender que esta aplicação gera uma prova criptográfica quando uma plataforma solicita a verificação de idade, devolvendo uma resposta binária sem revelar a sua identidade. No entanto, Moore descobriu que o PIN de acesso não está matematicamente ligado ao local de armazenamento onde estes dados residem.

Esta desconexão entre as credenciais e o cofre permite que um atacante apague os valores de acesso guardados no telefone e crie uma nova palavra-passe a partir do zero. Ao reiniciar o dispositivo, o programa concede o controlo total das credenciais criadas no perfil original da vítima, sem ter de saber a palavra-passe.

‼️🇪🇺 The EU's new Age Verification app was hacked with little to no effort.

When you set it up, the app asks you to create a PIN. But that PIN isn't actually tied to the identity data it's supposed to protect. An attacker can delete a couple of entries from a file on the phone,… pic.twitter.com/kqaC7rfFwa

— International Cyber Digest (@IntCyberDigest) April 16, 2026

Gerir os limites de utilização é ainda mais alarmante porque o contador que bloqueia a aplicação quando se introduz a palavra-passe errada é simplesmente um número armazenado num documento não encriptado. Se o programa o desligar por repetidas tentativas incorrectas, tudo o que tem de fazer é abrir esse ficheiro e repor o contador .

UE tem de melhorar o processo de controlo

A burla das medidas de segurança física opera com a mesma lógica de insegurança, uma vez que a aplicação consulta um parâmetro dentro desse texto para determinar se deve solicitar a sua impressão digital. Ao alterar a palavra "true" para "false" nesta linha de código, a verificação biométrica é completamente desativada, contornando a medida de segurança.

Esta precariedade entra em conflito direto com as alternativas já existentes no mercado privado para cumprir a lei. Em países como o Reino Unido, vimos como o Spotify já utiliza inteligência facial capaz de calcular a idade do utilizador em tempo real. Enquanto a indústria avança com ferramentas funcionais, a instituição pública baseia a sua segurança em bases frágeis.

Hacking the #EU #AgeVerification app in under 2 minutes.

During setup, the app asks you to create a PIN. After entry, the app *encrypts* it and saves it in the shared_prefs directory.

1. It shouldn't be encrypted at all - that's a really poor design. 2. It's not… https://t.co/z39qBdclC2 pic.twitter.com/FGRvWtWzaZ

— Paul Moore - Security Consultant  (@Paul_Reviews) April 16, 2026

Parte da comunidade de programadores questiona nas redes sociais porque é que os ambientes de execução seguros que vêm integrados nos processadores móveis foram ignorados. Além disso, o facto de a aplicação exigir serviços da Google para funcionar no Android exclui diretamente sistemas proprietários como o GrapheneOS.

Toda esta implementação apressada é motivada pelas coimas estipuladas no Regulamento Europeu de Inteligência Artificial para as plataformas que não implementam controlos rigorosos. Para agravar a situação, o sistema foi concebido para países-piloto, onde as credenciais de verificação de idade expiram periodicamente, necessitando de renovação.