Британский специалист по информационной безопасности Пол Мур продемонстрировал новый обход европейской системы подтверждения возраста. На этот раз ему не потребовалось менять файлы мобильного приложения, сбрасывать PIN-код или взламывать биометрию. Исследователь использовал расширение Chrome, созданное за несколько минут при помощи Claude, и заставил официальный демонстрационный сайт принять подтверждение «старше 18 лет» без участия телефона.

На опубликованной записи Мур открывает сайт проверки возраста, получает QR-код и запускает расширение. Оно обрабатывает запрос прямо в браузере и отправляет ответ, который проверяющий сервер считает действительным. Паспорт, распознавание лица, мобильное приложение и ввод PIN-кода в показанном сценарии не используются. Мур обозначил тестируемую сборку как 2026.07-1.
Это второй публичный обход проекта за три месяца. Первый затрагивал защиту хранилища на Android-устройстве. Новый способ работает на другом уровне — во время передачи подтверждения сайту.
Европейская комиссия разрабатывает систему, позволяющую подтвердить достижение определённого возраста без передачи сайту имени, даты рождения, номера документа и других персональных сведений.
Во время первоначальной регистрации возраст пользователя может проверяться через электронное удостоверение личности, паспорт с чипом, банковское приложение или очную процедуру. После успешной проверки в мобильном кошельке сохраняется электронное подтверждение возрастного порога — например, утверждение «старше 18 лет».
Когда человек открывает сервис с возрастным ограничением, сайт показывает QR-код. Мобильное приложение считывает запрос и формирует криптографическое доказательство. Сервис в итоге получает ответ о достижении нужного возраста, но не узнаёт личность посетителя.
Проект использует доказательства с нулевым разглашением. Такая криптографическая схема позволяет подтвердить отдельный факт, не раскрывая исходные данные, из которых этот факт получен. Европейская комиссия рассчитывает распространить совместимые решения по всему ЕС к концу 2026 года. К группе первых участников относятся Кипр, Дания, Франция, Греция, Ирландия, Италия и Испания.
Расширение подменяет обычный процесс взаимодействия сайта с мобильным кошельком. После появления QR-кода оно перехватывает запрос на подтверждение возраста и отправляет проверяющему сервису уже подготовленное доказательство.
Описание демонстрации указывает на повторное использование анонимного подтверждения «старше 18 лет». Проверяющий сайт принимает его без новой проверки документа и без надёжной связи между доказательством, текущим сеансом браузера и человеком, сидящим перед экраном.
Мур отдельно просил не оценивать этап выпуска тестового подтверждения. Демонстрационные издатели проекта позволяют получать пробные учётные данные без настоящей идентификации: это сделано для разработки и проверки интеграций. Официальная инструкция отмечает, что тестовый вариант с национальным электронным удостоверением использует макет сервиса и не проводит реальную проверку личности.
Существенная часть исследования относится к следующему этапу. Даже если допустить, что первоначальное подтверждение выдано настоящему взрослому человеку, проверяющий сервис должен не допустить его свободного копирования и повторного предъявления.
Криптографическая подпись отвечает на вопрос: выдал ли доверенный источник это подтверждение и не изменилось ли оно после выпуска.
Она сама по себе не всегда отвечает на другие вопросы:
-
предназначен ли ответ именно для текущего сайта;
-
создан ли он для конкретного сеанса;
-
не использовался ли он раньше;
-
контролирует ли отправитель устройство или ключ, которому выдали подтверждение;
-
находится ли перед экраном тот же человек, который прошёл первоначальную проверку.
Для защиты от повторной отправки сервер обычно создаёт одноразовый случайный запрос. Криптографический ответ связывается с этим запросом, адресатом и текущей операцией. После успешной проверки сервер помечает значение использованным.
Протоколы семейства OpenID for Verifiable Presentations, применяемые в европейском проекте, строят обмен вокруг отдельной транзакции. Официальная реализация проверяющего сервера предусматривает идентификатор операции, код ответа и сопоставление ответа кошелька с исходным запросом.
Мур связал обход с фундаментальной проблемой анонимной проверки: сервис намеренно не получает идентификатор пользователя и поэтому не может визуально или документально сопоставить посетителя с владельцем подтверждения.
Этот конфликт действительно существует. Сильная привязка к постоянной личности улучшает контроль, но одновременно позволяет сайтам отслеживать человека между разными ресурсами. Полная отвязка от пользователя сохраняет приватность, но упрощает передачу подтверждений.
Решение необязательно требует раскрытия имени или номера паспорта. Доказательство можно связать с закрытым ключом внутри защищённого хранилища устройства. При каждом обращении кошелёк подписывает новый запрос сервера. Сайт видит подтверждение владения ключом, но не получает постоянный идентификатор владельца.
Дополнительная привязка возможна к краткоживущему сеансу, домену сервиса, одноразовому запросу или аппаратному хранилищу ключей. Каждая мера усложняет передачу подтверждения, сохраняя возможность минимизировать раскрываемые данные.
Полностью исключить добровольную передачу доступа трудно. Взрослый пользователь может передать несовершеннолетнему разблокированный телефон, удалённый рабочий стол или уже открытую браузерную сессию.
Европейская комиссия признаёт возможность обхода и сравнивает такую систему с проверкой документов при продаже алкоголя: отдельные нарушения не делают сам возрастной барьер бесполезным.
Апрельское исследование Мура было устроено иначе. После установки ранняя версия Android-приложения предлагала создать PIN-код. Его служебные значения хранились в локальном файле настроек. Исследователь удалил поля PinEnc и PinIV, перезапустил программу и назначил новый PIN-код. Ранее выпущенные подтверждения возраста при этом оставались в хранилище и открывались уже с новым кодом.
В том же файле находились счётчик ошибочных попыток и переключатель биометрической проверки. Сброс счётчика позволял продолжать подбор PIN-кода, а изменение логического параметра отключало биометрию.
Атака требовала доступа к файловой системе устройства. Она не создавала действительное подтверждение возраста из воздуха, а позволяла получить доступ к данным, уже находившимся на скомпрометированном смартфоне.
Разработчики выпустили исправленную сборку 17 апреля. Базу данных и настройки связали с ключом защищённого хранилища, добавили проверку целостности устройства, усилили правила PIN-кода и изменили обработку фотографии паспорта. Репозиторий называл обновление первым этапом усиления защиты и предупреждал о необходимости дополнительных мер при промышленном внедрении.
Следующие обновления продолжили укреплять локальное хранилище и обработку заблокированного кошелька. Эти изменения закрывают часть апрельских проблем, но почти не влияют на новый сценарий: июльское расширение работает со стороны браузера и проверяющего сайта.
Новый тест выявил другой класс проблемы — переносимость подтверждения и недостаточную проверку его предъявления.
Мур утверждает, что рабочий прототип расширения полностью создала Claude за несколько минут. ИИ автоматизировал написание небольшого браузерного инструмента, работающего с уже доступным протоколом и демонстрационным сайтом.
Европейская комиссия объявила проект функционально готовым для адаптации 15 апреля 2026 года. Национальные органы и частные компании получили возможность создавать на его основе собственные приложения. Технический портал называет приложения эталонными реализациями, а опубликованные руководства требуют отдельного усиления защиты перед выходом к пользователям.
После первого сообщения Мура представитель Еврокомиссии объяснил, что открытая публикация кода должна помочь внешним специалистам находить недостатки. Разработчики подготовили обновление уже на следующий день. Отдельного официального ответа на июльскую демонстрацию на момент подготовки материала не опубликовано.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.