Il sogno dell’ID digitale dell’UE infranto: app di verifica dell’età hackerata in meno di due minuti

Doveva essere il punto di riferimento per la privacy digitale e la protezione dei minori in Europa: un’app di verifica dell’età di punta, lodata dai funzionari e promossa come modello di trasparenza e fiducia. Ma a pochi giorni da quando la Commissione europea l’ha dichiarata pronta per il grande pubblico, un consulente di sicurezza ha messo in luce debolezze fatali che consentono agli aggressori di impossessarsi delle identità degli utenti in meno tempo di quello necessario per preparare un caffè.

La dimostrazione della violazione, condotta dal consulente di sicurezza britannico Paul Moore, è tanto semplice quanto allarmante. Esaminando il codice open source dell’app e curiosando nella directory delle preferenze condivise del dispositivo - un’area di archiviazione comune per i file di configurazione delle app - Moore ha scoperto che il PIN dell’utente, pensato per proteggere la sua identità digitale, non solo è cifrato in modo approssimativo, ma non è nemmeno collegato al vero e proprio vault dell’identità.

Ciò significa che qualsiasi aggressore con accesso al file system del dispositivo può semplicemente eliminare i valori del PIN cifrato, riavviare l’app e impostare un PIN completamente nuovo. Così facendo, ottiene pieno accesso alle credenziali d’identità dell’utente originale - potendo impersonare la vittima senza conseguenze.

Ma i problemi non finiscono qui. Moore ha individuato ulteriori sviste catastrofiche. Le protezioni dell’app contro il brute force del PIN - pensate per bloccare gli aggressori dopo ripetuti tentativi falliti - vengono neutralizzate facilmente azzerando un contatore nello stesso file. Persino l’autenticazione biometrica, sbandierata come tutela della privacy, può essere disattivata cambiando una sola parola da “true” a “false” nella configurazione.

Queste vulnerabilità smentiscono le recenti affermazioni della Presidente della Commissione europea Ursula von der Leyen, che aveva assicurato il pubblico che l’app rappresentava i più alti standard di privacy al mondo e che la sua natura open source la rendeva intrinsecamente sicura. Le scoperte di Moore rivelano l’opposto: il codice aperto vale solo quanto l’architettura che lo sostiene, e in questo caso il design è fondamentalmente difettoso.

Gli esperti di sicurezza avvertono che distribuire l’app nello stato attuale potrebbe tradursi in un furto d’identità diffuso e in un disastro di pubbliche relazioni per le ambizioni digitali dell’UE. Memorizzare localmente dati critici di autenticazione, senza un vincolo crittografico con l’identità dell’utente, è un anti-pattern di sicurezza ben noto - che espone gli utenti ad attacchi anche da parte di avversari poco esperti.

L’app UE per la verifica dell’età doveva inaugurare una nuova era di fiducia e privacy digitali. Invece, ora si presenta come un monito: nella cybersecurity, le buone intenzioni e la trasparenza non sono un sostituto di un’architettura rigorosa e di un controllo incessante.

WIKICROOK

• Preferenze condivise: le preferenze condivise sono un metodo di archiviazione locale sui dispositivi mobili per salvare impostazioni dell’app e preferenze dell’utente come coppie chiave-valore.
• PIN (Personal Identification Number): un PIN è un breve codice numerico usato come misura di sicurezza per verificare l’identità, spesso richiesto per accedere a carte bancarie, dispositivi o account online.
• Vincolo crittografico: il vincolo crittografico collega i metadati ai dati cifrati, garantendo che entrambi siano protetti da manomissioni e modifiche non autorizzate nelle applicazioni di cybersecurity.
• Brute: un attacco brute-force è un metodo di hacking automatizzato in cui gli aggressori provano molte password o chiavi finché non trovano quella corretta per ottenere accesso non autorizzato.
• Autenticazione biometrica: l’autenticazione biometrica verifica l’identità usando tratti fisici unici come impronte digitali o riconoscimento facciale, offrendo un accesso sicuro e comodo a dispositivi e account.