L’app dell’UE per la verifica dell’età non sarebbe sicura, tanto che un’analisi indipendente ha scoperto che si potrebbe violare in due minuti.

L’app dell’UE di verifica dell’età per i minori online, appena presentata, sarebbe tutt’altro sicura. Da uno studio indipendente è infatti emersa la possibilità di compromettere la sua funzionalità in due minuti.

I funzionari hanno affermato di essere a conoscenza della vulnerabilità, ma hanno sottolineato che riguardava una precedente versione demo, non il prodotto finale. “Avevamo identificato quella vulnerabilità“, ha affermato la Commissione Europea, aggiungendo che era stata corretta nella versione presentata mercoledì.

In termini generali, la Commissione ha rilevato che oltre il 70% dei minori acceda regolarmente a servizi digitali che richiederebbero un controllo dell’età. Così Ursula von der Leyen aveva presentato l’app UE come “sviluppata per proteggere i più piccoli“.

Il rilievo della vulnerabilità

Sul suo profilo X, l’analista Paul Moore ha spiegato: “Durante la configurazione, l’app richiede di creare un PIN. Una volta inserito, l’app lo crittografa e lo salva nella directory shared_prefs“.

1. Non dovrebbe essere crittografato affatto: si tratta di una progettazione davvero scadente.
2. Non è legato crittograficamente al vault che contiene i dati di identità.

Pertanto, “un malintenzionato può semplicemente rimuovere i valori PinEnc/PinIV dal file shared_prefs e riavviare l’app. Dopo aver scelto un PIN diverso, l’app presenta le credenziali create con il vecchio profilo e permette all’attaccante di presentarle come valide“.

Altri problemi

Dallo stesso studio, sono emersi altri problemi, sempre potenzialmente lesivi per la privacy. Di qui:

1. La limitazione di frequenza è un numero incrementale nello stesso file di configurazione. Basta reimpostarlo a 0 e continuare a provare.
2. “UseBiometricAuth” è un valore booleano, anch’esso nello stesso file. Impostandolo su false, quel passaggio viene semplicemente saltato.

“Quando lo si configura, l’app chiede di creare un PIN. Ma quel PIN non è effettivamente legato ai dati di identità che dovrebbe proteggere. Un aggressore può cancellare un paio di voci da un file sul telefono, riavviare l’app, scegliere un nuovo PIN. Poi, l’app consegna tranquillamente le credenziali di identità verificate dell’utente originale come se nulla fosse“.

“Ma c’è di peggio“, ha sottolineato Moore. Il blocco per “troppi tentativi” dell’app è solo un contatore in un file di testo. Basta azzerarlo e continuare a provare. Il controllo biometrico (viso/impronta digitale) è un semplice interruttore on/off nello stesso file. Basta disattivarlo e la piattaforma lo salta completamente.

Le immagini biometriche

L’analisi di Moore si è poi soffermata proprio sulla gestione delle immagini che servono per l’attivazione del software di verifica dell’età.

Secondo l’analista, il flusso NFC estrae il volto dal DG2 del documento elettronico e lo scrive su disco come PNG lossless. La cancellazione scatterebbe solo in caso di successo. Al contrario, in caso di errore, un incidente, un annullamento o una scansione interrotta potrebbero lasciare il file nel dispositivo.

Per i selfie il quadro evidenzierebbe uno scenario ancora peggiore. Immagini salvate nello storage esterno all’applicazione e non rimosse affatto. La loro conservazione sarebbe allora prolungata.

Da parte sua la Commissione ha valorizzato l’impiego di meccanismi privacy-preserving e di zero-knowledge proof per attestare il superamento di una soglia di età. Questo meccanismo serve proprio per consegnare l’identità completa alla piattaforma.

Vai al sito di Cybersecurity Italia.

L'articolo Hackerata in due minuti l’app UE per la protezione dei minori online. La Commissione: “Conoscevano la vulnerabilità ma era della demo” sembra essere il primo su CyberSecurity Italia.