TEKNOLOGI, Perspektif.co.id — Aplikasi verifikasi usia resmi milik Uni Eropa yang baru saja diluncurkan pada 15 April 2026 untuk melindungi anak-anak dari konten berbahaya di internet langsung menjadi bahan tertawaan komunitas keamanan siber global setelah seorang konsultan keamanan asal Inggris membuktikan sistem tersebut bisa ditembus hanya dalam waktu kurang dari dua menit. Paul Moore, konsultan keamanan siber berbasis di Inggris, berhasil melewati seluruh lapisan autentikasi aplikasi Digital Age Verification milik Komisi Eropa itu dalam waktu di bawah dua menit sejak pertama kali aplikasi itu diakses. Insiden ini langsung mempermalukan Komisi Eropa di hadapan publik global, mengingat aplikasi tersebut baru saja dipuji sebagai pencapaian privasi digital tertinggi Benua Biru.
Aplikasi ini dikembangkan oleh perusahaan Swedia Scytáles bersama Deutsche Telekom melalui tender senilai €4 juta atau sekitar Rp72,4 miliar dari Komisi Eropa, dan dirancang untuk memungkinkan pengguna membuktikan bahwa mereka berusia di atas 18 tahun saat mengakses konten dewasa tanpa perlu mengungkapkan data identitas pribadi apapun, menggunakan metode yang dikenal sebagai zero-knowledge proof. Presiden Komisi Eropa Ursula von der Leyen dan Wakil Presiden Eksekutif Henna Virkkunen secara resmi memperkenalkan aplikasi tersebut di Brussels, dengan von der Leyen menegaskan bahwa kode sumber aplikasi sepenuhnya bersifat open source sebagai jaminan transparansi.
Virkkunen, yang merupakan tokoh terdepan dalam kebijakan teknologi Uni Eropa, menegaskan pentingnya inisiatif ini dengan menyatakan bahwa memastikan keselamatan anak-anak dan kaum muda di dunia daring adalah prioritas utama Komisi, dan bahwa platform tidak lagi punya alasan untuk terus menjalankan praktik yang membahayakan anak-anak.
Namun klaim-klaim itu luruh hanya beberapa jam kemudian. Pada 16 April, Moore mempublikasikan sebuah video di platform X yang memperlihatkan secara langsung bagaimana ia membobol sistem autentikasi aplikasi tersebut hanya dengan berbekal akses fisik ke perangkat dan kemampuan mengedit file konfigurasi. Dalam demonstrasinya, Moore menjalani proses pengaturan awal secara normal — membuat PIN enam digit, mengonfirmasinya, memilih metode verifikasi, dan menerima kredensial digital 18+ resmi — sebelum kemudian membuka folder shared_prefs aplikasi melalui file explorer, menghapus entri PIN terenkripsi dari file eudi-wallet.xml, me-restart aplikasi, dan memasukkan PIN baru yang langsung diterima sistem sambil mempertahankan kredensial verifikasi asli yang sudah ada sebelumnya.
Para peneliti mengidentifikasi dua cacat arsitektur kritis: PIN terenkripsi disimpan secara lokal namun tidak terhubung secara kriptografis ke identity vault yang menyimpan kredensial verifikasi sesungguhnya, dan enkripsi itu sendiri tidak berfungsi sebagai perlindungan bermakna karena file konfigurasi tersebut dapat diedit secara bebas oleh siapa pun yang memiliki akses ke perangkat. Dengan kata lain, seluruh lapisan keamanan yang dibanggakan Komisi Eropa itu runtuh hanya dengan operasi pengeditan teks sederhana yang bisa dilakukan bahkan oleh pengguna awam sekalipun.
Selain celah bypass PIN, Moore juga menemukan dua kerentanan tambahan dalam file konfigurasi yang sama: perlindungan rate-limiting dapat dinonaktifkan cukup dengan mengatur ulang nilai penghitung ke nol sehingga memungkinkan upaya tebak PIN tanpa batas tanpa risiko pemblokiran, sementara autentikasi biometrik dapat dimatikan sepenuhnya hanya dengan mengubah nilai “UseBiometricAuth” dari true menjadi false. Para pakar mempertanyakan mengapa aplikasi ini tidak memanfaatkan perlindungan tingkat hardware yang sudah tersedia di smartphone modern seperti chip Secure Enclave, dan malah mengandalkan file perangkat lunak yang dapat dimodifikasi dengan mudah.
“Serius, Von der Leyen — produk ini akan menjadi pemicu kebocoran besar pada suatu saat nanti. Ini hanya soal waktu,” demikian peringatan Moore yang ditujukan langsung kepada Presiden Komisi Eropa melalui platform X, sebagaimana dikutip Cybernews.
Kriptografer Prancis Olivier Blazy turut mengonfirmasi temuan Moore dan mengilustrasikan ancaman nyata dari kelemahan ini dengan menyatakan bahwa keponakannya dapat mengambil ponselnya, membuka kunci aplikasinya, dan menggunakannya untuk membuktikan bahwa dirinya berusia di atas 18 tahun.
Pendiri Telegram Pavel Durov pergi lebih jauh dalam komentarnya, berargumen bahwa aplikasi ini sebenarnya dapat diretas berdasarkan desainnya sendiri karena sistem itu mempercayai perangkat pengguna sepenuhnya tanpa verifikasi independen. Durov bahkan mengusulkan kemungkinan bahwa aplikasi tersebut sengaja dibuat mudah dijebol, sehingga potensi kebocoran data di masa depan dapat dijadikan dalih politis untuk mencabut fitur-fitur privasi dan diam-diam mengubah seluruh sistem menjadi alat pengawasan massal yang lebih luas.
Juru Bicara Utama Komisi Eropa Paula Pinho merespons kontroversi ini dengan menyatakan bahwa Moore menguji versi demo, bukan aplikasi final, dan bahwa patch sedang dalam proses peluncuran. Meski begitu, Pinho tetap mempertahankan posisi Komisi dengan menyatakan bahwa aplikasi tersebut siap digunakan dan dapat selalu ditingkatkan ke depannya. Per 17 April 2026, enam negara anggota Uni Eropa termasuk Prancis, Spanyol, dan Denmark masih berada dalam fase percontohan aplikasi ini.
Video demonstrasi Moore telah ditonton lebih dari 2,6 juta kali dan memicu perdebatan sengit di Reddit maupun X, dengan sebagian pihak berargumen bahwa akses fisik ke ponsel yang telah di-root memang dapat mengkompromikan hampir semua aplikasi, sementara pihak lain menyebut desain sistem ini benar-benar ceroboh karena PIN tidak terhubung secara tepat ke data identitas aktual.
