साइबर सुरक्षा विशेषज्ञों द्वारा कई कमजोरियों की खोज के बाद ईयू आयु सत्यापन ऐप ने विवाद खड़ा कर दिया है। सिस्टम, जो "तकनीकी रूप से पूर्ण" होने और "उच्चतम गोपनीयता मानकों" को पूरा करने का दावा करता था, का दो मिनट से भी कम समय में उल्लंघन किया गया था। सुरक्षा सलाहकार पॉल मूर इस भेद्यता को इंगित करने वाले पहले व्यक्ति थे। एप्लिकेशन के ओपन सोर्स कोड का अध्ययन करने के बाद, उन्होंने एक वीडियो में दिखाया कि सुरक्षा को कैसे बायपास किया जाए।
मुख्य भेद्यता यह है कि एन्क्रिप्टेड पिन कोड केवल डिवाइस पर स्थानीय रूप से संग्रहीत होता है और पहचान भंडारण क्षेत्र से विश्वसनीय रूप से बंधा नहीं होता है। एक हमलावर पुराने पिन को रीसेट करने, नए पासवर्ड सेट करने और पहले से प्रमाणित पहचान डेटा तक पूर्ण पहुंच प्राप्त करने के लिए बस कुछ सिस्टम सेवा फ़ाइलों को हटा सकता है। इसके अलावा, कॉन्फ़िगरेशन फ़ाइल में ऐसी सेटिंग्स पाई गईं जो बायोमेट्रिक प्रमाणीकरण को बंद करने (पैरामीटर मान को "सही" से "गलत" में बदलने) और पिन प्रविष्टि प्रयासों की संख्या को रीसेट करने की अनुमति देती हैं। मूर ने कहा कि इन ऑपरेशनों के लिए किसी जटिल उपकरण की आवश्यकता नहीं होती है और इन्हें मिनटों में पूरा किया जा सकता है।
वास्तव में चौंकाने वाली बात यह है कि ऐप उपयोगकर्ता के डिवाइस पर अनएन्क्रिप्टेड रूप में "कच्चा" बायोमेट्रिक डेटा और सेल्फी तस्वीरें संग्रहीत करता है। प्रक्रिया की गोपनीयता और गुमनामी के संबंध में यूरोपीय आयोग के बयानों के विपरीत, इन फ़ाइलों को सिस्टम द्वारा कभी भी स्वचालित रूप से हटाया नहीं गया था। बाद में यह पुष्टि की गई कि उपर्युक्त समस्या परीक्षण नमूने में दिखाई नहीं दी, लेकिन डाउनलोड के लिए उपलब्ध सॉफ़्टवेयर के अंतिम संस्करण में मौजूद थी।
स्थिति पर टिप्पणी करते हुए, यूरोपीय आयोग ने कमियों को स्वीकार किया लेकिन अक्षमता के आरोपों को खारिज कर दिया। आधिकारिक प्रतिनिधियों ने कहा कि ऐप अभी भी परिशोधन चरण में है और वर्तमान संस्करण वास्तविक तैनाती के लिए नहीं है। वे वादा करते हैं कि निकट भविष्य में सभी खोजी गई कमजोरियों को ठीक कर दिया जाएगा, और अंतिम उत्पाद संस्करण बाद की तारीख में जारी किया जाएगा।