Aggiornamenti recenti Aprile 17th, 2026 2:21 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- L’App europea di verifica dell’età è stata bucata in due minuti
- Recovery scam: quando la truffa colpisce due volte
- Supply chain: il 69% delle aziende pronto a co-finanziare la sicurezza
- Donne e cybersecurity: crescono le nuove leve e alcune sfide
- Social media vietati ai minori? In Australia non sta funzionando
L’App europea di verifica dell’età è stata bucata in due minuti
La nuova app europea per la verifica dell’età, presentata come soluzione privacy-friendly per l’accesso ai servizi online, è finita immediatamente sotto scrutinio e non ne è uscita bene. A poche ore dal lancio, un ricercatore di sicurezza ha dimostrato come sia possibile aggirare i meccanismi di protezione in meno di due minuti, sollevando dubbi sulla solidità dell’architettura e sulla reale efficacia del sistema.
Il progetto, promosso dalla Commissione europea, nasce con l’obiettivo di consentire agli utenti di dimostrare la propria età senza condividere dati personali con le piattaforme, riducendo la necessità di raccolta e gestione di informazioni sensibili. Un approccio che punta a coniugare compliance normativa e tutela della privacy, ma che, secondo i primi riscontri tecnici, potrebbe introdurre nuove superfici di attacco.
Un bypass semplice ma strutturale
Le criticità evidenziate non riguardano una vulnerabilità isolata, ma scelte progettuali che espongono il sistema a manipolazioni dirette da parte dell’utente. Secondo quanto emerso, l’app memorizza localmente un PIN cifrato, ma senza legarlo in modo sicuro al vault identitario che contiene i dati di verifica.
Questo dettaglio apre la strada a un attacco relativamente semplice. Modificando alcuni file di configurazione e riavviando l’applicazione, è possibile reimpostare il PIN mantenendo l’accesso alle credenziali già generate, di fatto riutilizzando dati di identità sotto un nuovo controllo di accesso. Il risultato è un sistema che accetta credenziali precedenti senza una reale validazione del contesto.
Controlli aggirabili e sicurezza “resettable”
Ulteriori criticità emergono nei meccanismi di difesa contro attacchi più aggressivi. Il sistema di rate limiting, fondamentale per prevenire tentativi ripetuti di accesso, è implementato come un semplice contatore salvato nello stesso file di configurazione modificabile. Azzerando questo valore, l’app perde memoria dei tentativi effettuati, rendendo possibili attacchi di forza bruta.
Anche l’autenticazione biometrica risulta vulnerabile. La sua attivazione è gestita tramite un flag booleano: modificandolo manualmente, è possibile disabilitare completamente il controllo, bypassando uno dei principali livelli di sicurezza previsti.
In altre parole: i controlli di sicurezza possono essere alterati direttamente dall’utente, compromettendo l’intero modello di fiducia dell’applicazione.
Un problema di design più che di bug
La reazione della comunità di sicurezza è stata immediata. Diversi esperti hanno sottolineato come il problema non sia riconducibile a un semplice bug, ma a una progettazione che non tiene conto dei principi fondamentali della sicurezza mobile.
In particolare, è stata evidenziata l’assenza di integrazione con componenti hardware sicuri, come il secure enclave presente sui dispositivi moderni, che avrebbe potuto proteggere le informazioni critiche da modifiche locali.
Altri dubbi riguardano la logica stessa del sistema, inclusa la presenza di limiti temporali sulle credenziali di età. Un approccio che solleva interrogativi sull’effettiva coerenza del modello, considerando che l’età anagrafica non è un attributo soggetto a variazioni retroattive.
Una sicurezza ancora da dimostrare
L’episodio evidenzia un punto critico per il futuro della regolamentazione digitale: la sicurezza non può essere un elemento secondario rispetto alla compliance normativa. Soluzioni progettate per proteggere gli utenti rischiano di ottenere l’effetto opposto se non supportate da architetture robuste e da una corretta implementazione dei controlli.
C’è da dire che l’approccio di rendere open source il codice dell’app testimonia la buona volontà dell’Unione e traccia un bel precedente di trasparenza e solidità. L’app, infatti, non è ancora scaricabile e la community si è attivata su Github per studiarla prima che potesse far danni. Chi è stato incaricato dello sviluppo è già al lavoro per tappare le numerose falle trovate e seguire i (saggi) consigli ricevuti dalla comunità di sicurezza.
D’altro canto, è abbastanza desolante il fatto che l’Unione costringa le aziende ad assumere una postura di sicurezza ben strutturata con norme severe e poi crei un’app che sembra un colabrodo per la gestione degli accessi online basati sull’età. Speriamo che questa cantonata insegni qualcosa per i progetti futuri.
Condividi l'articolo
- age verification app UE, app sicurezza UE, biometric bypass, bypass autenticazione PIN, cybersecurity Europa, privacy digitale UE, rischio sorveglianza digitale, secure enclave mobile, sicurezza identità digitale, vulnerabilità app mobile
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Recovery scam: quando la truffa colpisce due volte Nel panorama delle minacce informatiche, esiste una... -
Strategia cybersecurity USA verso un modello più assertivo... Nel mese scorso, il governo degli USA ha rilasciato un... -
Proxy residenziali: quando la reputazione degli IP smette... Secondo un’analisi pubblicata da GreyNoise, basata su... -
Vertex AI e il rischio dei “double agent” AI Un recente studio della Unit 42 di Palo Alto ha messo in... -
Vibecoding: l’AI accelera lo sviluppo ma moltiplica i... Il concetto di vibecoding – ovvero la generazione di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
L’App europea di verifica dell’età è stata bucata in... La nuova app europea per la verifica dell’età,... -
Recovery scam: quando la truffa colpisce due volte Nel panorama delle minacce informatiche, esiste una...
-
Supply chain: il 69% delle aziende pronto a co-finanziare... Sembra che il mercato inizi a considerare una cosa... -
Donne e cybersecurity: crescono le nuove leve e alcune La cybersecurity italiana continua a crescere, ma la... -
Social media vietati ai minori? In Australia non sta... Qualcuno ricorderà che qualche mese fa è stato annunciato...
Ransomware: la serie
No posts found.