Avrupa Birliği'nin yeni yaş doğrulama uygulaması, 2 dakika dayanamadı

AB'nin çocukları çevrim içi ortamda korumak için tasarladığı Dijital Yaş Doğrulama Uygulamasının hacklenmesi uzun sürmedi. Güvenlik araştırmacıları, yerel yapılandırma dosyalarındaki mimari hatalar sayesinde PIN ve biyometrik doğrulama adımlarının iki dakikadan kısa sürede aşılabildiğini tespit etti.

Haberi Paylaş

+Aa-

Avrupa Birliği'nin yeni yaş doğrulama uygulaması, 2 dakika dayanamadı

KAYNAK:

Murat Makas

GİRİŞ:

20.04.2026

09:40

GÜNCELLEME:

20.04.2026

09:43

Avrupa Komisyonu tarafından 14 Nisan 2026’da çocukları zararlı içeriklerden korumak amacıyla kullanıma sunulan Dijital Yaş Doğrulama Uygulaması, büyük bir güvenlik zafiyeti ile karşı karşıya kaldı. İngiltere merkezli güvenlik danışmanı Paul Moore, uygulamanın kimlik doğrulama sisteminin iki dakikadan kısa bir süre içinde aşılabildiğini gözler önüne serdi.

Avrupa Birliği'nin yeni yaş doğrulama uygulaması, 2 dakika dayanamadı

0:00 147

HABERİN ÖZETİ

Avrupa Birliği'nin yeni yaş doğrulama uygulaması, 2 dakika dayanamadı

Avrupa Komisyonu tarafından çocukları zararlı içeriklerden korumak amacıyla sunulan Dijital Yaş Doğrulama Uygulaması, büyük bir güvenlik zafiyeti barındırıyor.

Uygulamanın kimlik doğrulama sisteminin iki dakikadan kısa bir sürede aşılabildiği ortaya çıktı.

Uygulamadaki zafiyetin temel sorunu, yerel yapılandırma dosyalarındaki mimari kusurlardan kaynaklanıyor.

Fiziksel erişim sağlayan kötü niyetli bir kişi, belirli dosyaları silip sistemi yeniden başlatarak kendi belirlediği yeni bir PIN ile giriş yapabiliyor.

Sınırsız şifre deneme hakkı ve biyometrik güvenliğin kolayca atlatılması gibi başka sorunlar da mevcut.

Uygulama, Avrupa Dijital Kimlik Cüzdanı ekosistemi için bir prototip olduğundan, zafiyetler ulusal al infrastructureleri adına ciddi riskler taşıyor.

Fransa, İspanya ve Danimarka gibi altı AB üyesi ülke, uygulamanın pilot denemelerini sürdürüyor.

Araştırmacılardan gelen bilgilere göre, uygulamadaki en büyük sorun yerel yapılandırma dosyalarındaki mimari kusurlardan kaynaklanıyor. Kullanıcılar kurulum sırasında bir PIN kodu oluşturuyor ve şifrelenen veriler cihazdaki “shared_prefs” adlı bir dosyada saklanıyor. Ancak depolanan veriler gerçek kimlik doğrulama kasasıyla kriptografik olarak bağlantılı çalışmıyor.

Fiziksel olarak cihaza erişim sağlayan kötü niyetli bir kişi, dosyada yer alan “PinEnc” ile “PinIV” değerlerini silip sistemi yeniden başlatarak kendi belirlediği yeni bir PIN ile giriş yapabiliyor. Böylece hiçbir uyarı tetiklenmeden orijinal doğrulanmış kimlik profiline sızılması mümkün hale geliyor.

BİYOMETRİK GÜVENLİK TAMAMEN DEVRE DIŞI BIRAKILABİLİYOR

Güvenlik uzmanlarının ortaya çıkardığı diğer sorunlar arasında sınırsız şifre deneme hakkı ve biyometrik güvenliğin kolayca atlatılması yer alıyor. Aynı yapılandırma dosyasında bulunan basit bir sayacın sıfırlanması ile birlikte saldırganlar diledikleri kadar PIN tahmini yapabiliyor.

Ek olarak, "UseBiometricAuth" isimli kod dizisindeki değerin değiştirilmesi ile biyometrik doğrulama adımı tamamen ortadan kaldırılabilir. Uzmanlar, yaşanan durumu basit bir hata değil temel bir tasarım kusuru olarak nitelendiriyor.

URSULA VON DER LEYEN’E KRİTİK UYARI

Uygulama, daha geniş kapsamlı Avrupa Dijital Kimlik Cüzdanı ekosistemi için bir prototip olarak inşa edildiğinden, zafiyetlerin ulusal altyapılar adına ciddi riskler taşıdığı belirtiliyor. Eleştirmenler ayrıca, Mart 2026’da keşfedilen ve pasaport doğrulamasının cihazda gerçekleşip gerçekleşmediğini teyit edemeyen ayrı bir mimari kusura da dikkat çekiyor.

Konuyla ilgili Avrupa Komisyonu Başkanı Ursula von der Leyen'e açık bir uyarıda bulunan Paul Moore, ürünün büyük bir veri ihlaline sebep olacağını ve felaketin an meselesi olduğunu vurguladı. Halihazırda Fransa, İspanya ve Danimarka’nın da aralarında bulunduğu altı AB üyesi ülke, uygulamanın pilot denemelerini sürdürüyor.