A poche ore dall’annuncio ufficiale da parte della Commissione Europea, la nuova applicazione per la verifica dell’età online, pensata per limitare l’accesso ai contenuti non adatti ai minori, si trova già al centro di un acceso dibattito, e non certo per i motivi sperati. Il progetto, presentato dalla presidente Ursula von der Leyen come una soluzione rispettosa della privacy e basata su codice open source, è stato infatti analizzato nel dettaglio da esperti di sicurezza informatica, e i primi riscontri non sono affatto incoraggianti.
Come spesso accade in questi casi, soprattutto quando si parla di software dichiaratamente open source e dunque accessibile a chiunque voglia metterci le mani, la community si è attivata immediatamente. Tra i primi a esaminare il sistema troviamo il ricercatore di cybersicurezza Paul Moore, che nel giro di appena dodici ore è riuscito a individuare vulnerabilità piuttosto significative, arrivando addirittura ad aggirare le protezioni dell’app in circa due minuti.
Segui TuttoAndroid su Google Discover
Offerte Amazon Prime Day, scopri quando!
Iscrivi ad Amazon Prime per poter approfittare delle offerte Prime Day, i primi 30 giorni sono gratis!
Un problema strutturale e sicurezza aggirabile troppo facilmente per l’app europea per la verifica dell’età online
Secondo quanto riportato, il problema principale individuato riguarda la gestione del PIN richiesto durante la configurazione iniziale. Questo codice, in teoria, dovrebbe essere crittografato e utilizzato per verificare l’età dell’utente senza rivelarne l’identità, un punto su cui la Commissione ha insistito parecchio.
Tuttavia, secondo quanto emerso dall’analisi, la crittografia del PIN non sarebbe collegata in modo sicuro al sistema che gestisce le informazioni sensibili; tradotto in termini più semplici, un utente con un minimo di competenze tecniche può intervenire direttamente sui file locali dell’app, modificare o eliminare i dati associati al PIN e riavviare il sistema, impostando poi un nuovo codice e riottenendo accesso alle credenziali precedenti.
Si tratta, come sottolineato dallo stesso Moore, non tanto di un bug isolato dell’app quanto di un difetto di progettazione piuttosto profondo, e qui emerge uno dei nodi centrali della questione: per correggere questa vulnerabilità sarebbe probabilmente necessario legare in maniera più stretta l’identità dell’utente al sistema, andando però a compromettere quell’anonimato che rappresenta uno dei pilastri del progetto.
Le criticità però non si fermano al solo PIN, analizzando ulteriormente il funzionamento dell’app (attualmente disponibile solo come prototipo Android con codice pubblicato su GitHub), emergono altri elementi che lasciano più di qualche perplessità.
Ad esempio, il sistema che limita il numero di tentativi di accesso, fondamentale per prevenire attacchi di tipo brute force, si basa su un contatore salvato in locale, modificabile senza particolari difficoltà; questo significa che un utente può azzerarlo manualmente e continuare a effettuare tentativi all’infinito, vanificando di fatto qualsiasi protezione.
Allo stesso modo, anche l’autenticazione biometrica, che dovrebbe aggiungere un ulteriore livello di sicurezza tramite il riconoscimento facciale, può essere disattivata intervenendo su un semplice parametro booleano all’interno dei file di configurazione. Una modifica banale dunque, che permette di bypassare completamente il controllo.
Come spesso accade quando si parla di sistemi di verifica dell’identità online, il vero nodo della questione sembra essere il delicato equilibrio tra sicurezza e tutela della privacy. L’idea di fondo della Commissione Europea, ovvero offrire uno strumento anonimo, trasparente e verificabile pubblicamente, è senza dubbio condivisibile, ma la sua implementazione pratica appare, almeno allo stato attuale, ancora acerba.
Le critiche sollevate dagli esperti non riguardano solo le singole vulnerabilità, ma l’intero approccio progettuale. In particolare, diversi sviluppatori hanno evidenziato come dati così sensibili non dovrebbero mai essere accessibili o modificabili lato utente, suggerendo l’adozione di soluzioni più robuste già presenti sugli smartphone moderni, come le enclave sicure per la gestione delle credenziali.
Nel frattempo, sui social e tra gli addetti ai lavori continuano a emergere nuove segnalazioni di falle e comportamenti inattesi, segno che il progetto, nonostante sia stato definito tecnicamente pronto, necessita probabilmente di ulteriori sviluppi e verifiche prima di poter essere adottato su larga scala.
Insomma, l’app che doveva rappresentare un passo importante verso una regolamentazione più efficace dell’accesso ai contenuti online rischia, almeno per il momento, di trasformarsi in un caso emblematico delle difficoltà legate alla progettazione di sistemi sicuri e rispettosi della privacy. Bisognerà dunque attendere per capire se e come la Commissione Europea riuscirà a risolvere queste criticità senza snaturare l’impianto originale del progetto.
- La Spagna vieta i social media ai minori di 16 anni e annuncia indagini su Instagram, TikTok e Grok
- L’UE vuole alzare l’età minima per i social: stretta in arrivo su algoritmi, IA e pratiche manipolative
- Instagram, TikTok e YouTube accettano valutazioni indipendenti sulla salute mentale dei giovani
- Instagram avviserà i genitori se i figli cercano contenuti su suicidio e autolesionismo