Doba se digitalizuje a spousta lidí si přeje mít své běžné doklady ve virtuální podobě. K tomu už dnes existuje mnoho různých aplikací a nástrojů v čele s Peněženkou Google nebo Samsung Wallet. Své alternativy mají i některé státy, v Česku jde například o eDoklady. A se svou vlastní variantou určenou pro všechny občany EU před pár dny slavnostně přišla i Evropská unie. A hned záhy z toho byla ostuda světového formátu.
Aplikace obsahující doklady občanů Evropské unie, jimiž by se mohli prokazovat na cestách i ve své vlasti, je geniálním nápadem. Ale musí správně fungovat. A co víc, musí splňovat nejvyšší standardy bezpečnosti. Předsedkyně Evropské komise Ursula von der Leyen při nedávném představení aplikace EU Digital Identity Wallet prohlásila, že je vysoce zabezpečená a chrání soukromí uživatelů. Jenže hned druhý den byla prolomena.
Aplikace za 4 miliony eur
Vývoj aplikace EU Digital Identity Wallet (EUDI Wallet) stál přes 4 miliony eur a stojí za ní švédská firma Scytáles a Deutsche Telekom. Uživatelé z EU si do ní mohou nahrát své občanské průkazy, řidičské průkazy, certifikáty, diplomy a mnoho dalších osobních dokladů. S jejich pomocí se pak nejen mohou prokazovat úřadům či policii, ale aplikace může posloužit i k ověřování věku na sociálních sítích nebo jiných online platformách.
Výhodou má být, že při prokázání věku aplikace nezíská přesná data o uživateli, ale dostane oficiální potvrzení, že je dost starý na to, aby vyhověl pravidlům pro registraci. Vývojáři ale udělali jednu zásadní chybu – vytvořili aplikaci jako open-source. To znamená, že její kód je veřejně dostupný a podle šéfky Evropské komise je tím jasně ukázána důvěryhodnost aplikace. Jenže umožňuje to i její snadné zneužití.
Fotogalerie
Britský bezpečnostní konzultant Paul Moore si stáhl soubor EU Digital Identity Wallet APK z GitHubu, prošel kód a během 2 minut se mu podařilo pouhou změnou jedné části obejít veškerá bezpečnostní pravidla. Nepoužil přitom žádné triky hackerů, jen využil svých IT znalostí.
Pochopil, že v mobilu s Androidem stačí jen dohledat uložený PIN, vymazat ho, restartovat aplikaci a nahradit ho svým vlastním kódem. A cesta k datům daného uživatele je rázem volná. Existuje sice i čítač chybně zadaných PIN kódů, který by útočníka měl po několika neúspěšných pokusech zastavit, ale i ten je uložený v totožném souboru – takže jen stačí vynulovat ho a začít znovu.
A uložená biometrická data nutná pro registraci? Ta se ukládají jako nešifrované PNG přímo do úložiště mobilu. Aby toho nebylo málo, Moore prokázal, že jednoduchým vygenerováním QR kódu lze oklamat i ověřování věku.
Hacking the #EU #AgeVerification app in under 2 minutes.
During setup, the app asks you to create a PIN. After entry, the app *encrypts* it and saves it in the shared_prefs directory.
1. It shouldn't be encrypted at all – that's a really poor design.
2. It's not… https://t.co/z39qBdclC2 pic.twitter.com/FGRvWtWzaZ— Paul Moore – Security Consultant (@Paul_Reviews) April 16, 2026
Video s celým procesem zveřejnil na síti X a Evropská komise má rázem ostudu. Údajně maximálně zabezpečená aplikace, která má obsahovat ty nejosobnější údaje občanů, je zjevně děravá jako cedník. Evropská komise sice ihned přispěchala s vysvětlením, že takto snadno prolomitelná byla prý jen demoverze a nikoliv stabilní aplikace, ale kód zveřejněný na GitHubu naznačuje opak. A hned den poté vývojářská firma přinesla záplatu. Ale jen málokdo teď asi bude mít k EUDI Wallet takovou důvěru, aby do ní nahrál své doklady.
