È bufera sul lancio dell'app per la verifica dell'età online della Commissione europea, presentata ufficialmente dalla presidente Ursula von der Leyen lo scorso 15 aprile in una conferenza stampa che l'ha vista sottolineare i punti di forza dell'applicazione, pensata per soddisfare “gli standard di privacy più elevati al mondo”. Per verificare la propria età, infatti, gli utenti utilizzano il passaporto o la carta di identità, ma il sistema non ne memorizza il nome, la data di nascita, il numero di documento o le altre informazioni personali.L'annuncio, fortemente atteso in Europa, è stato però accolto con enorme scetticismo dalle organizzazioni della società civile e dagli esperti di sicurezza, che hanno subito messo in evidenza la presenza di vulnerabilità critiche che rendere l'applicazione hackerabile anche dagli utenti più giovani, mettendone così a rischio la sicurezza e richiedendo un intervento immediato della Commissione per la risoluzione dei bug. Eppure, nonostante gli accorgimenti tecnici che hanno fatto seguito alla richiesta, l'app continua a sembrare meno solida e sicura di come la si era immaginata, finendo con il rendere quasi inutile la verifica dell'età su siti e piattaforme.Vulnerabilità critiche e pericoli per la privacyIl primo a mettere in evidenza le vulnerabilità dell'app per la verifica dell'età è stato il ricercatore di sicurezza Paul Moore che, appena 24 ore dopo l'annuncio di von der Leyen, ha condiviso su X un video in cui mostrava come hackerare il sistema in soli 2 minuti. Al momento della configurazione, infatti, l'applicazione consente agli utenti di impostare un pin che, a detta di Moore, non rappresenta affatto una limitazione sicura all'utilizzo di questo strumento: da una prima analisi il ricercatore ha notato che l'app non imponeva criteri severi per la scelta del pin, permettendo così agli utenti di scegliere anche codici semplici, facili da indovinare sia per i malintenzionati sia per gli utenti più giovani intenzionati ad accedere a un sito fingendo di avere più di 18 anni. A questo, poi, si aggiungeva il fatto che l'applicazione permettesse di salvare il pin in chiaro, rendendolo di fatto accessibile a chiunque utilizzasse il dispositivo su cui questa era installata.Un problema confermato da altri hacker etici. Baptiste Robert, per esempio, in una dichiarazione rilasciata alla testata Politico, ha fatto luce sulla possibilità di bypassare l'autenticazione al sistema, permettendo così a chiunque di accedere all'app evitando di digitare il pin o utilizzare il TouchID. “Supponiamo che io abbia scaricato l'app e dimostrato di avere più di 18 anni - ha confermato il ricercatore Olivier Blazy, commentando la facilità di bypassare i controlli per l'accesso all'applicazione -; a quel punto mio nipote potrebbe prendere il mio telefono, sbloccare l'app e usarla per dimostrare di avere più di 18 anni”. Di fatto, quindi, l'app risulterebbe inutile rispetto alla sua funzionalità originaria. A preoccupare gli esperti di sicurezza, però, non è solo questo. Subito dopo le segnalazioni degli esperti di sicurezza, infatti, la Commissione europea ha promesso che il codice dell'app sarebbe stato “costantemente aggiornato e migliorato”. A quanto pare, però, neppure gli aggiornamenti recenti sono riusciti a rendere l'app realmente funzionale al suo scopo: evitare che i minori possano accedere a siti per adulti, che potrebbero rivelarsi pericolosi per la loro incolumità.Fix, patch e soluzioni poco attendibiliNelle ore successive alle segnalazioni degli esperti di sicurezza, la Commissione Europea ha subito rilasciato una serie di aggiornamenti per risolvere le vulnerabilità presenti nella sua app per la verifica dell'età online. Secondo quanto riferito, ora i dati di accesso all'applicazione sono crittografati a riposo - accessibili solo con le apposite chiavi di decrittazione -, così da mantenerli al sicuro nel caso di furto del dispositivo o accesso illecito all'app da parte di terzi. Inoltre, per una maggiore tutela, ora l'applicazione verifica l'integrità del dispositivo al suo avvio, evitando di funzionare su dispositivi con accesso root o jailbreak. Infine, in risposta alle segnalazioni di Moore, l'aggiornamento rilasciato dalla Commissione introduce criteri più restrittivi per l'impostazione del pin, così da impedire l'uso di codici semplici, che possano essere facilmente reperiti e utilizzati da terzi.Insomma, tutto sembrerebbe essere stato risolto. Se non fosse che il ricercatore Paul Moore è tornato a verificare la sicurezza dell'applicazione dopo gli aggiornamenti, mettendo in evidenza come tutte le modifiche apportate siano in realtà obsolete, poco adatte per garantire un accesso illecito all'applicazione. Alla luce di quanto evidenziato da Moore, quindi, il problema resta lo stesso: l'app di verifica dell'età online può essere bucata anche dagli hacker più giovani, rendendla di fatto inutile ai fini per cui è stata progettata.
L'app per la verifica dell'età della Commissione europea ha già troppe falle di sicurezza
Presentata dalla presidente von der Leyen, l'applicazione è al centro delle critiche per le numerose vulnerabilità critiche messe in evidenza dai ricercatori









