L’app europea per verificare l’età ha serie falle: un hacker l’ha aggirata in due minuti
Mercoledì scorso, la presidente della Commissione europea Ursula von der Leyen ha annunciato con great confidence l’arrivo di un’app per verificare l’età online, pensata per proteggere i minori dai contenuti non adatti. L’app, ha spiegato, garantirebbe l’anonymity degli utenti e si baserebbe su un codice open source, controllabile da chiunque. Un invito diretto agli esperti di cyber security , che non si sono fatti pregare: appena dodici ore dopo, il ricercatore Paul Moore ha bypassed il sistema in soli due minuti.
Moore ha analizzato la versione di prova per Android, disponibile su GitHub, e ha scoperto un critical flaw . Durante la configurazione, l’app richiede un PIN che viene crittografato e salvato locally , ma la protezione non è legata al sistema che custodisce i dati identificativi. Questo permette a un utente di modificare i file di configurazione, cancellare i valori del PIN e reset l’app con un nuovo codice, accedendo alle credenziali precedenti. Non è un semplice bug: è un difetto di design che mina l’intero purpose dell’app.
La falla più grave? La crittografia del PIN non è collegata all’identità dell’utente. Per risolverla, spiega Moore, bisognerebbe legare una chiave a ogni persona in modo irrevocabile, ma questo comprometterebbe l’privacy tanto promessa. «Non è un bug — ha scritto — è un difetto fondamentale che non possono risolvere senza permettere il tracking ». In altre parole, per essere sicura, l’app dovrebbe rinunciare all’anonymity , il suo stesso punto di forza.
Ma non finisce qui. Anche il contatore dei tentativi di accesso è salvato nello stesso file modificabile: basta azzerarlo per bypass i limiti. E l’biometric authentication , basata sull’analisi del volto, può essere disattivata cambiando un parametro booleano da "vero" a "falso". Un intervento elementare per chiunque abbia basic knowledge in programmazione. Moore l’ha detto chiaro: «Sul serio von der Leyen, questo prodotto potrebbe diventare il catalizzatore di una enorme violazione. È solo questione di tempo».
Le reazioni nel mondo tech non si sono fatte attendere. Molti sviluppatori sottolineano che dati sensibili non dovrebbero mai essere accessibili lato utente e chiedono perché non siano state usate enclave protette, già presenti negli smartphone moderni. Altri hacker hanno confermato ulteriori vulnerabilities sui social. Il percorso verso una verifica d’età universale sembra ancora lungo e in salita, con un public trust già messa a dura prova.
Due minuti per bypass aggirare un sistema sponsorizzato dall’UE? Sembra uno scherzo. Ma non lo è. Se i dati sono modificabili localmente, non c’è encryption crittografia che tenga.
L’idea dell’open source è buona, ma non basta. Serve un design sicuro fin dall’inizio. Qui hanno messo la carrozza davanti ai buoi.
E pensare che basterebbe usare le enclave protette degli smartphone. Sono anni che esistono. Perché reinventare la ruota in modo unsafe insicuro?
Ogni volta che sento parlare di anonymity anonimato e tracking tracciamento insieme, mi viene il mal di testa. Promettono entrambe le cose, ma non possono coesistere così facilmente.
Il vero problema non è il codice: è la design progettazione. Hanno creato un sistema che, per essere sicuro, deve tradire la sua stessa purpose finalità.
E se un minore modifica l’app per accedere a contenuti per adulti? È già successo con altre piattaforme. La public trust fiducia pubblica in questi strumenti sta crollando.