App UE verifica età online: aggirata in 2 minuti, falla grave

L’Unione Europea ha presentato la sua app ufficiale per la verifica dell’età online, pensata per permettere agli utenti di dimostrare di essere maggiorenni senza dover cedere dati personali alle piattaforme. Ursula von der Leyen l’ha definita “tecnicamente pronta” e allineata “ai più alti standard di privacy”. Peccato che un ricercatore di sicurezza l’abbia aggirata in meno di due minuti.

Il consulente di sicurezza Paul Moore ha pubblicato su X una analisi dettagliata dei difetti strutturali dell’app, concludendo con una previsione tutt’altro che rassicurante: “questo prodotto sarà il catalizzatore di una violazione enorme, è solo questione di tempo“.

Vuoi ascoltare il riassunto dell’articolo?

Ascolta su Spreaker.

In base a quanto riportato (non abbiamo verificato in modo indipendente quindi il legittimo beneficio del dubbio resta valido), il problema centrale è che l’app memorizza il PIN cifrato in locale, ma la cifratura non è legata al vault dell’identità dell’utente, dove risiedono i dati sensibili di verifica. In pratica, basta cancellare alcuni valori dal file di configurazione dell’app e riavviarla: si imposta un nuovo PIN, ma si mantiene l’accesso alle credenziali create con il profilo precedente.

L’app accetta quindi dati di identità riutilizzati sotto un nuovo controllo di accesso, come se nulla fosse.

Non finisce qui. Il rate limiting, il meccanismo che blocca i tentativi ripetuti di indovinare il PIN, è memorizzato come un semplice contatore nello stesso file di configurazione modificabile: azzerarlo è banale. Ancora peggio, l’autenticazione biometrica è controllata da un singolo flag booleano: basta cambiarlo da “true” a “false” e il sistema salta completamente la verifica dell’impronta o del volto.

Diversi sviluppatori hanno reagito online chiedendo perché non sia stato usato il secure enclave, il chip dedicato alla sicurezza presente su qualsiasi smartphone moderno: sarebbe bastato per rendere inaccessibili questi dati dall’esterno.

Quello che emerge non è un errore di implementazione corretto in fretta, ma un difetto architetturale di fondo: dati di autenticazione sensibili non dovrebbero mai essere direttamente accessibili o modificabili dall’utente finale. Il fatto che l’app sia open source, presentato come punto di forza per la trasparenza, ha semplicemente reso più facile per chiunque analizzarne le debolezze (e meno male!).

Tra le critiche emerse online c’è anche un’altra stranezza logica: l’app impone un numero limitato di verifiche dell’età e prevede una data di scadenza per le credenziali. Come ha fatto notare qualcuno sui social, una volta che una persona ha più di 18 anni, li avrà per sempre: non ha molto senso far “scadere” questa informazione.

La questione si inserisce in un contesto più ampio: sempre più paesi stanno introducendo obblighi di verifica dell’età online, con approcci diversi e risultati alterni. Il rischio concreto, come segnalano centinaia di ricercatori in una lettera aperta, è che sistemi mal progettati non proteggano i minori ma creino invece nuovi punti di raccolta centralizzata di dati sensibili, vulnerabili ad attacchi. Partire con un’app già bucata prima del lancio ufficiale non è esattamente il miglior biglietto da visita.