Bypass del PIN en menys de 2 minuts:

L’app xifra el PIN, però el xifratge no està lligat criptogràficament al vault q conté les dades d’identitat. Esborrant uns valors del fitxer i reiniciant l’app, pots definir PIN nou mantenint l’accés a les credencials creades amb l’anterior.

Rate limiting de fireta:

El comptador d’intents fallits està guardat com un simple valor editable. El poses a zero i el sistema oblida quants cops s’han produït logins fallits, deixant via lliure als atacs de força bruta.

Biometria controlada amb booleà:

L’autenticació biomètrica es regula amb un sol flag true/false al fitxer de configuració. Canviar-lo la desactiva. Diversos informes apunten que allò lògic hagués estat fer servir el Secure Enclave (xip dedicat i aïllat que incorporen els mòbils).

Fonts:
- https://cybernews.com/security/eu-age-verification-app-hack

- https://discuss.privacyguides.net/t/new-eu-age-verification-has-been-hacked-in-under-2-minutes/37185