Mercoledì, la Commissione europea ha svelato un’app mobile(nuova finestra) progettata per consentire alle persone di dimostrare la propria età online senza condividere dati personali con le piattaforme. I funzionari dell’UE hanno dichiarato che l’app era pronta, rispettava i più elevati standard di privacy, e hanno indicato il suo codice open-source come prova di trasparenza.
Nel giro di poche ore, tuttavia, i ricercatori di sicurezza hanno iniziato ad analizzare il codice open-source. Entro giovedì, il consulente per la sicurezza Paul Moore aveva aggirato le protezioni dell’app in meno di due minuti(nuova finestra).
Altri hanno confermato le sue scoperte. I controlli di limitazione della frequenza dell’app erano archiviati in un file modificabile, l’ autenticazione biometrica poteva essere disattivata con una semplice modifica della configurazione e le credenziali sensibili erano accessibili senza la protezione di un hardware sicuro.
La Commissione ha minimizzato i risultati, definendo il rilascio come una versione demo. Sia Moore che il crittografo francese Olivier Blazy hanno ribattuto, dichiarando a Politico(nuova finestra) che stavano testando l’ultima versione del codice quando hanno trovato le falle.
In seguito, la Commissione ha dichiarato che il problema è stato risolto, ma l’incidente mostra comunque quanto siano vulnerabili questi sistemi di verifica dell’età.
Cosa fa l’app di verifica dell’età dell’UE e cosa è andato storto
L’app di verifica dell’età dell’UE consente alle persone di verificare la loro età utilizzando un passaporto, una carta d’identità nazionale o un provider attendibile come una banca. Le piattaforme possono quindi chiedere all’app di verificare se qualcuno ha superato una certa età senza accedere ai dati personali sottostanti, operazione nota anche come prova a conoscenza zero.
L’implementazione ha minato tale progettazione. L’app di verifica dell’età dell’UE ha archiviato un PIN crittografato in un file di configurazione modificabile sul dispositivo, separato dalla cassaforte di identità che conserva i dati sensibili. Eliminando alcuni valori e riavviando l’app, un malintenzionato può impostare un nuovo PIN riutilizzando al contempo le credenziali di un profilo precedente.
I controlli di limitazione della frequenza che impediscono i tentativi ripetuti erano archiviati come un semplice contatore nello stesso file, che può essere reimpostato a zero, cancellando ogni traccia dei tentativi falliti. L’autenticazione biometrica era controllata da un singolo flag booleano; passandolo da vero a falso si ignorava completamente il controllo.
Creata per verificare l’età, ma non in sicurezza
Dopo che i ricercatori hanno usato il codice per esporne le falle, i funzionari hanno ripresentato l’app come una versione demo.
Diversi sviluppatori hanno notato che i dati sensibili avrebbero dovuto essere archiviati in un’enclave sicura, una protezione a livello hardware disponibile sugli smartphone moderni che rende questi attacchi molto più difficili.
Ma le vulnerabilità evidenziano un problema che va oltre questa particolare app. La verifica dell’età non è sicura per sua natura, perché richiede di collegare un’identità reale a un’azione online. Tale link deve essere archiviato da qualche parte, anche se brevemente, e ovunque si trovi diventa un bersaglio per hacker, governi e chiunque riesca ad accedere in modo non autorizzato ai dati sottostanti. Più quel collegamento diventa centralizzato e riutilizzabile, più il bersaglio diventa grande.
La legge sulla verifica dell’età dell’UE mira a essere un unico standard di tutela della privacy che sostituisca il mosaico legale che sta prendendo forma tra gli Stati membri, ma la fiducia della Commissione sul fatto che l’app fosse pronta si è rivelata prematura. Più di 400 ricercatori di privacy e sicurezza hanno scritto alla Commissione a marzo(nuova finestra) chiedendo una moratoria sulla distribuzione finché la scienza sulla tecnologia di verifica dell’età non si sarà stabilizzata.
