Aggiornamenti recenti Maggio 14th, 2026 3:40 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- NGINX Rift, rischio RCE per una falla rimasta nascosta 18 anni
- Falso repository OpenAI su Hugging Face distribuisce malware
- Ecco il GitHub per fare di Claude un operatore OSINT avanzato
- Un dipendente su otto considera accettabile vendere le credenziali
- Quasar Linux RAT: malware che punta alla supply chain software
L’App europea di verifica dell’età è stata bucata in due minuti
La nuova app europea per la verifica dell’età, presentata come soluzione privacy-friendly per l’accesso ai servizi online, è finita immediatamente sotto scrutinio e non ne è uscita bene. A poche ore dal lancio, un ricercatore di sicurezza ha dimostrato come sia possibile aggirare i meccanismi di protezione in meno di due minuti, sollevando dubbi sulla solidità dell’architettura e sulla reale efficacia del sistema.
Il progetto, promosso dalla Commissione europea, nasce con l’obiettivo di consentire agli utenti di dimostrare la propria età senza condividere dati personali con le piattaforme, riducendo la necessità di raccolta e gestione di informazioni sensibili. Un approccio che punta a coniugare compliance normativa e tutela della privacy, ma che, secondo i primi riscontri tecnici, potrebbe introdurre nuove superfici di attacco.
Un bypass semplice ma strutturale
Le criticità evidenziate non riguardano una vulnerabilità isolata, ma scelte progettuali che espongono il sistema a manipolazioni dirette da parte dell’utente. Secondo quanto emerso, l’app memorizza localmente un PIN cifrato, ma senza legarlo in modo sicuro al vault identitario che contiene i dati di verifica.
Questo dettaglio apre la strada a un attacco relativamente semplice. Modificando alcuni file di configurazione e riavviando l’applicazione, è possibile reimpostare il PIN mantenendo l’accesso alle credenziali già generate, di fatto riutilizzando dati di identità sotto un nuovo controllo di accesso. Il risultato è un sistema che accetta credenziali precedenti senza una reale validazione del contesto.
Controlli aggirabili e sicurezza “resettable”
Ulteriori criticità emergono nei meccanismi di difesa contro attacchi più aggressivi. Il sistema di rate limiting, fondamentale per prevenire tentativi ripetuti di accesso, è implementato come un semplice contatore salvato nello stesso file di configurazione modificabile. Azzerando questo valore, l’app perde memoria dei tentativi effettuati, rendendo possibili attacchi di forza bruta.
Anche l’autenticazione biometrica risulta vulnerabile. La sua attivazione è gestita tramite un flag booleano: modificandolo manualmente, è possibile disabilitare completamente il controllo, bypassando uno dei principali livelli di sicurezza previsti.
In altre parole: i controlli di sicurezza possono essere alterati direttamente dall’utente, compromettendo l’intero modello di fiducia dell’applicazione.
Un problema di design più che di bug
La reazione della comunità di sicurezza è stata immediata. Diversi esperti hanno sottolineato come il problema non sia riconducibile a un semplice bug, ma a una progettazione che non tiene conto dei principi fondamentali della sicurezza mobile.
In particolare, è stata evidenziata l’assenza di integrazione con componenti hardware sicuri, come il secure enclave presente sui dispositivi moderni, che avrebbe potuto proteggere le informazioni critiche da modifiche locali.
Altri dubbi riguardano la logica stessa del sistema, inclusa la presenza di limiti temporali sulle credenziali di età. Un approccio che solleva interrogativi sull’effettiva coerenza del modello, considerando che l’età anagrafica non è un attributo soggetto a variazioni retroattive.
Una sicurezza ancora da dimostrare
L’episodio evidenzia un punto critico per il futuro della regolamentazione digitale: la sicurezza non può essere un elemento secondario rispetto alla compliance normativa. Soluzioni progettate per proteggere gli utenti rischiano di ottenere l’effetto opposto se non supportate da architetture robuste e da una corretta implementazione dei controlli.
C’è da dire che l’approccio di rendere open source il codice dell’app testimonia la buona volontà dell’Unione e traccia un bel precedente di trasparenza e solidità. L’app, infatti, non è ancora scaricabile e la community si è attivata su Github per studiarla prima che potesse far danni. Chi è stato incaricato dello sviluppo è già al lavoro per tappare le numerose falle trovate e seguire i (saggi) consigli ricevuti dalla comunità di sicurezza.
D’altro canto, è abbastanza desolante il fatto che l’Unione costringa le aziende ad assumere una postura di sicurezza ben strutturata con norme severe e poi crei un’app che sembra un colabrodo per la gestione degli accessi online basati sull’età. Speriamo che questa cantonata insegni qualcosa per i progetti futuri.
Condividi l'articolo
- age verification app UE, app sicurezza UE, biometric bypass, bypass autenticazione PIN, cybersecurity Europa, privacy digitale UE, rischio sorveglianza digitale, secure enclave mobile, sicurezza identità digitale, vulnerabilità app mobile
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Un dipendente su otto considera accettabile vendere le... Il problema del dipendente “infedele” è vecchio quanto... -
Honeypot intelligenti: come gli agenti AI ingannano gli... Stanno arrivando, ma non nascono già pronti. Stiamo... -
I dati sono recuperabili (troppo) facilmente dalle auto... Come sappiamo, le auto moderne sono sempre più simili a... -
Reset password: una misura di sicurezza che diventa Vi ricordate il vecchio adagio “cambia la password almeno... -
Recovery scam: quando la truffa colpisce due volte Nel panorama delle minacce informatiche, esiste una...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
NGINX Rift, rischio RCE per una falla rimasta nascosta 18... Una vulnerabilità critica rimasta nascosta per quasi due... -
Falso repository OpenAI su Hugging Face distribuisce La corsa all’AI sta creando nuove superfici di attacco... -
Ecco il GitHub per fare di Claude un operatore OSINT... L’intelligenza artificiale sta, ovviamente e... -
Un dipendente su otto considera accettabile vendere le... Il problema del dipendente “infedele” è vecchio quanto...
-
Quasar Linux RAT: malware che punta alla supply chain... Un nuovo malware Linux altamente sofisticato sta attirando...
Ransomware: la serie
No posts found.