Janne Yli-Korhonen
17. huhtikuuta, 2026 14:38
Vasta tällä viikolla uutisoimme, kuinka Euroopan komissio hehkutti uutta iänvarmennussovellustaan "teknisesti valmiiksi" ja yksityisyydeltään huippuluokkaiseksi. Nyt sovellus on kuitenkin joutunut kovan kritiikin kohteeksi, kun tietoturvatutkija osoitti sen suojaukset lähes olemattomiksi.
Tietoturvakonsultti Paul Moore kertoo ohittaneensa sovelluksen suojaukset alle kahdessa minuutissa. Hänen mukaansa sovelluksen tekninen toteutus sisältää alkeellisia suunnitteluvirheitä, jotka tekevät siitä helpon maalin kenelle tahansa teknisesti valveutuneelle käyttäjälle.
Mooren analyysi paljastaa, että sovelluksen luottamus perustuu paikallisiin tiedostoihin, joita käyttäjä voi itse muokata. Vaikka sovellus on avointa lähdekoodia, mitä komission puheenjohtaja Ursula von der Leyen piti läpinäkyvyyden takuuna, se näyttää toimineen tarkoitustaan vastaan paljastamalla huteran rakenteen.
Mooren mukaan sovellus tallentaa PIN-koodin laitteelle, mutta sitä ei ole sidottu käyttäjän varsinaiseen identiteettiholviin. Poistamalla tiettyjä arvoja sovelluksen asetustiedostosta, hyökkääjä voi asettaa uuden PIN-koodin ja päästä silti käsiksi aiempiin tunnistetietoihin.
Yleensä sovellukset lukittuvat usean virheellisen PIN-koodin jälkeen. Tässä sovelluksessa yritysten määrää seuraava laskuri sijaitsee muokattavassa tiedostossa. Laskurin nollaaminen antaa hyökkääjälle rajattomasti yrityksiä.
Lisäksi sormenjälki- tai kasvotunnistus on sovelluksessa vain yksi "true/false"-asetus. Muuttamalla asetuksen manuaalisesti "false"-tilaan, sovellus jättää biometrisen tarkistuksen kokonaan väliin.
Asiantuntijat ihmettelevätkin, miksi sovellus ei hyödynnä nykyaikaisten älypuhelinten rautatason suojauksia, kuten Secure Enclave -sirua, vaan luottaa muokattavissa oleviin ohjelmistotason tiedostoihin.
Telegramin perustaja Pavel Durov otti kantaa tapaukseen ja totesi sovelluksen olevan "hakkeroitavissa jo suunnittelunsa puolesta". Durovin mukaan sovelluksen suurin virhe on se, että se luottaa käyttäjän laitteeseen ja sen lähettämään tietoon sokeasti.
Durovin mukaan on mahdollista, että sovellus on tarkoituksella tehty helposti murrettavaksi. Näin mahdolliset tietomurrot voisivat myöhemmin toimia poliittisena keppihevosena, jolla vaaditaan yksityisyyden purkamista ja laajempaa valvontaa "turvallisuuden nimissä".
Tietoturvan lisäksi kritiikkiä on herättänyt sovelluksen logiikka. Käyttäjät ovat ihmetelleet sosiaalisessa mediassa, miksi iänvarmennuksella on vanhentumispäivä tai rajoitettu määrä käyttökertoja.
EU on kaavaillut sovellusta keskeiseksi osaksi digitaalista identiteettiä, ja se on tulossa käyttöön useissa maissa, myös Suomessa osana tulevaa digitaalista lompakkoa. Tuoreimmat paljastukset kuitenkin asettavat suuren kysymysmerkin sille, onko järjestelmä todella niin valmis ja turvallinen kuin Euroopan komissio antoi ymmärtää.