Tecnologia
video suggerito
video suggerito

L’app europea per verificare l’età ha dei grossi problemi: un hacker è riuscito ad aggirarla in due minuti

Poche ore dopo l’annuncio della Commissione Europea sull’arrivo di una nuova app per la verifica dell’età sul web, un esperto di sicurezza informatica ha scoperto una serie di falle nel sistema che permettono di aggirare i controlli in pochi semplici passaggi.
Leggi tutte le notizie di Fanpage.it nel tuo feed Google.
A cura di Niccolò De Rosa
0 CONDIVISIONI
Immagine

Mercoledì scorso la presidente della Commissione europea Ursula von der Leyen ha annunciato l'arrivo di una nuova applicazione per verificare l'età degli utenti online e impedire che i cittadini troppo giovani possano accedere ai siti per adulti e fruire di contenuti non adatti alla loro età, social inclusi. L'app, ha spiegato von der Leyen, è stata progettata per garantire l'anonimato e si baserà su un sistema open source, così da permettere controlli pubblici sulla sua affidabilità e sicurezza. Un'affermazione che è stata presa alla lettera da decine di esperti del settore che si sono subito messi al lavoro per analizzare ogni bit del nuovo sistema di age verification. E i risultati non sono stati molto incoraggianti.

Dodici ore dopo l'annuncio di von der Leyen, il ricercatore di cyber sicurezza Paul Moore ha scoperto di essere in grado di aggirare le difese della nuova app in appena due minuti. "Von der Leyen ha detto che l'app è open-source, quindi chiunque può controllare il codice", ha scritto Moore su X. "L'ho fatto. Non ci è voluto molto per trovare quello che sembra un serio problema di privacy".

Cosa ha scoperto Moore: il problema è strutturale

L'app di verifica dell'età, lo specifichiamo, non è ancora stata rilasciata né presentata ufficialmente. Per il momento ne esiste una versione di prova per Android e i codici sono reperibili su GitHub. La stessa Presidente della Commissione Europea l'ha però definita "tecnicamente pronta" e questo ha sollevato le perplessità di Moore, che invece ha dimostrato come il programma presenti importanti falle che rischiano di annullarne l'effettiva utilità.

Leggi anche
Siti per adulti, l'accesso all'app per la verifica dell'età richiede i documenti: il prototipo UE

Nel dettaglio, l'esperto ha mostrato con tanto di video come durante la configurazione l'app richieda la creazione di un PIN, che viene poi crittografato e salvato localmente. In teoria l'app dovrebbe utilizzare questi dati per dialogare con il sito che si vuole visitare e comunicare se l'utente ha o meno l'età giusta per accedervi, senza rivelare altre informazioni. Tuttavia, questa protezione presenta un problema di fondo: la crittografia del PIN non è collegata al sistema che custodisce i dati di identità dell'utente. Questo significa che un utente può facilmente intervenire direttamente sui file di configurazione, eliminare i valori associati al PIN e riavviare l'applicazione. A quel punto, impostando un nuovo codice, può accedere alle credenziali precedenti e utilizzarle come se fossero valide.

Il problema, ha spiegato Moore, è che non si tratta di un semplice baco, ma di un difetto di progettazione che mette in discussione l'intero sistema poiché per risolverlo servirebbe snaturare il meccanismo dell'anonimato tanto sbandierato da von der Leyen.

Non è un bug. È un difetto fondamentale di design che non possono risolvere senza legare irrevocabilmente una chiave a te personalmente, il che poi permette il tracciamento e il monitoraggio.

Controlli aggirabili e sicurezza debole

Le criticità non si fermano qui. Moore ha evidenziato come anche altri meccanismi di sicurezza risultino facilmente eludibili. Il sistema che limita il numero di tentativi di accesso è fondamentale per prevenire attacchi sistematici ed è gestito tramite un contatore salvato nello stesso file modificabile. Basta agire sul codice per azzerarlo e riprendere i tentativi senza limiti. Allo stesso modo, l'autenticazione biometrica che analizza i tratti del volto può essere disattivata semplicemente modificando un parametro booleano, un tipo di dato che può assumere due valori: "vero" o falso". Se si modifica manualmente il parametro in "falso", salta il passaggio e l'utente può tranquillamente procedere con l'autenticazione.

"Sul serio von der Leyen, a un certo punto questo prodotto sarà il catalizzatore per un'enorme violazione. È solo questione di tempo", ha concluso laconicamente Moore.

Le reazioni e il grosso dubbio per la privacy

Le critiche non si sono fatte attendere anche tra gli sviluppatori e gli esperti del settore, che hanno messo in dubbio le scelte progettuali. In particolare, è stato sottolineato come dati sensibili non dovrebbero mai essere accessibili o modificabili lato utente. Alcuni hanno inoltre evidenziato l'assenza di soluzioni più sicure già disponibili sugli smartphone moderni, come le enclave protette per la gestione delle credenziali. Sui social intanto si stanno moltiplicando le segnalazioni da parte di altri hacker che stanno riscontrando ulteriori fragilità del sistema. La strada verso l'adozione di uno strumento universale per la verifica dell'età su Internet continua a sembrare sempre più in salita.

Tecnologia
0 CONDIVISIONI
Immagine
VIETATO
AI MINORI
Siti per adulti, l'accesso all'app per la verifica dell'età richiede i documenti: il prototipo UE
L'analisi della documentazione pubblicata dall'Unione Europea
L'annuncio di Ursula von der Leyen: "Il blocco sarà come per le bevande alcoliche"
autopromo immagine
Più che un giornale
Il media che racconta il tempo in cui viviamo con occhi moderni
Notifiche
Effettua il Login
Tecnologia
api url views