UE: app de verificação de idade é hackeado em dois minutos

A União Europeia (UE) não quer ficar para trás na onda que visa tornar a verificação de idade online um sistema global. A Austrália foi a primeira nação a dar a partida ao implementar leis que restringem o acesso de conteúdo por menores na internet, sendo seguida por Reino Unido, Singapura, Malásia, Brasil e vários estados dos Estados Unidos.

• UE quer "carteira online universal" para verificação de idade
• ECA Digital: o que muda no Brasil para web, redes e games

A proposta da UE com seu app de código aberto para verificação de idade é prover uma base para mais países adotarem a medida, visando uma regra global para "proteger as criancinhas" dos males da internet. No entanto, tão logo o código-fonte foi compartilhado, profissionais de segurança o analisaram e descobriram falhas grotescas, que o permitiram ser hackeado em apenas dois minutos.

Profissionais de segurança fuçaram no código do app open source de verificação de idade da UE... e não gostaram do que viram (Crédito: Reprodução/SQ Magazine)

App da UE é um queijo suíço

A cúpula da UE em Bruxelas realmente achou que seu app de verificação de idade seria uma espécie de "pedra angular" para o estabelecimento de novas leis e recursos voltados a impedir menores de idade de ter acesso a conteúdos indevidos como pr0n, jogos acima de sua faixa etária ou redes sociais em geral, tanto que na última terça-feira (14), a presidente da Comissão Europeia Ursula von der Leyen declarou que a ferramenta estava "tecnicamente pronta".

Introduzido oficialmente no dia seguinte, o app de verificação de idade online da UE funciona de forma similar a outros serviços já em uso por sites, apps e plataformas como o Yoti, que já foi multado na Espanha por violações da Lei Geral de Proteção de Dados (GDPR), o usuário deve submeter um documento de identificação e comprovar ser o dono por meio de verificação de biometria.

O app teoricamente não guarda nada; ao invés disso, cria uma chave que liga o usuário aos dados originalmente fornecidos e checados, para liberar o acesso em sites e serviços. Ele é gratuito para companhias e governos que desejem implementá-lo e, mais importante, é totalmente open source. Seu código foi compartilhado no GitHub para quem quiser acessar e fuçar.

Desnecessário dizer que profissionais de segurança se debruçaram em peso sobre o código-fonte da carteira digital da UE e encontraram uma série de problemas, que em poucas horas converteram o app de modelo de segurança em um pesadelo de Relações Públicas. O consultor de segurança digital Paul Moore demonstrou como é simples contornar as camadas de proteção da ferramenta:

Hacking the #EU #AgeVerification app in under 2 minutes.

During setup, the app asks you to create a PIN. After entry, the app *encrypts* it and saves it in the shared_prefs directory.

1. It shouldn't be encrypted at all - that's a really poor design.
2. It's not… https://t.co/z39qBdclC2 pic.twitter.com/FGRvWtWzaZ

— Paul Moore - Security Consultant  (@Paul_Reviews) April 16, 2026

De cara, Moore apontou que o PIN criado para servir de login é criptografado e guardado à parte, não sendo vinculado ao diretório que mantém os dados sensíveis — sim, ao contrário do ventilado pela UE, o app armazena informações confidenciais localmente. Dessa forma, um atacante pode simplesmente remover os valores "PinEnc/PinIV" do arquivo de configurações armazenado na pasta shared_prefs, reiniciar o app, criar um novo PIN e acessar as credenciais do perfil "antigo" para validá-las como suas.

Continua, claro:

• O limite de requisições é um número incremental contido no mesmo arquivo de configurações, facilmente resetável para continuar tentando o acesso em modo de força bruta;
• Ainda no mesmo arquivo, a entrada "UseBiometricAuth" é um boolean, que basta definir como "Falso" para pular a etapa de checagem por biometria.

Moore apontou outras falhas graves, como armazenar dados localmente do momento da coleta (o que a UE afirmou não ser o caso) sem nenhum tipo de criptografia, e por um erro de programação ao não deletá-los como deveria, embora proteja de forma razoável informações críticas. Selfies tiradas dentro do app são armazenadas normalmente pelo dispositivo e sujeitas às camadas de segurança locais (no caso, do Android), sem que a carteira tome qualquer medida para protegê-las.

Outros profissionais de segurança, como o francês Olivier Blazy, apontaram que o app, na forma em que se encontra, permite que um menor minimamente entendido em tech pegue o celular de um adulto, contorne as restrições e use-o para se passar por outra pessoa.

A UE, claro, entrou no modo controle de danos: na sexta-feira (17) a porta-voz-chefe da Comissão Europeia, Paula Pinho, voltou a afirmar que "o app está pronto", mas acrescentou que os técnicos do governo "ainda tenham que adicionar certas coisas, e sempre há espaço para melhorias".

Já o porta-voz Thomas Regnier deu a desculpa clássica:

"Quando nós (a UE) dissemos que o app estava na versão final, o que queríamos dizer era que, na verdade... ele ainda é uma demo". 

Em nome de proteger as crianças dos males da internet, apps obrigatórios de verificação de idade correm o risco de serem implementados de qualquer jeito, por pura pressão política (Crédito: Getty Images)

A desculpa foi reforçada por uma nota oficial enviada pela Comissão Europeia ao site Politico, dizendo que os técnicos estavam analisando "uma versão demo anterior" criada "para uso em testes e desenvolvimento"; Moore e Blazy, no entanto, dizem que testaram a versão mais recente disponibilizada no GitHub; Blazy completou dizendo que compartilhar o código-fonte foi uma boa prática, mas o app de verificação de idade não corresponde nem de longe ao nível de segurança esperado por uma aplicação do tipo, destinada a gerenciar dados de identificação sensíveis.

De qualquer forma, a situação escalou de forma catastrófica: o presidente da França, Emmanuel Macron, chegou a convocar uma reunião de emergência com outros chefes de Estado da UE, a fim de discutirem o problema, mas, ao mesmo tempo, para manter o ritmo de implementação do app e "manter a pressão" contra opositores; von der Leyen, que continua endossando a aplicação, estava entre os presentes.

A oposição apresenta pontos relevantes, de que o app de verificação online, desenvolvido por uma parceria entre a companhia sueca Scytáles e a Deutsche Telekom, após vencer uma licitação de € 4 milhões (~R$ 23,39 milhões, cotação de 21/04/2026) em 2024, está sendo apressado por pura pressão política, não está pronto e, mesmo que estivesse, faria com que menores recorressem a ferramentas como VPNs (que o Reino Unido quer proibir o uso por menores) e outras alternativas menos seguras.

No entanto, dado o andar da carruagem na União Europeia e em todo o mundo, Brasil incluso, é quase certo que tais soluções serão implementadas à força e de qualquer jeito, abrindo caminho para novos casos de vazamentos severos de dados sensíveis da população, algo que muitos já veem como algo inevitável.

Fonte: Politico