L’app di verifica dell’età della Commissione Europea è stata bypassata per la seconda volta dallo stesso ricercatore di sicurezza che aveva scoperto le falle nella versione originale all’inizio di quest’anno. Secondo il ricercatore Paul Moore, gli aggiornamenti di sicurezza recenti non hanno risolto i problemi di progettazione sottostanti dell’applicazione, permettendogli di aggirare le sue protezioni tramite un’estensione generata Chrome dall’IA.
Moore ha affermato che l’ultima versione ha introdotto protezioni aggiuntive, tra cui preferenze criptate e rilevamento delle radici, ma ha sostenuto che queste misure hanno solo rafforzato l’applicazione contro attacchi di base senza correggere quella che ha descritto come una debolezza architetturale fondamentale. In una dimostrazione pubblicata online, ha mostrato come l’app potesse ancora essere manipolata per produrre risultati di verifica dell’età di successo.
Il ricercatore sostiene che il sistema ripone troppa fiducia nel software che gira sul dispositivo dell’utente, rendendolo vulnerabile a manomissioni. Sostiene che gli attaccanti possono modificare il comportamento dell’applicazione prima che vengano trasmessi i dati di verifica, rendendo inefficaci molti controlli di sicurezza locali. Moore ha affermato che il problema non può essere completamente risolto con patch incrementali e richiederebbe invece una riprogettazione del modello di verifica.
I risultati arrivano solo pochi mesi dopo che Moore aveva dimostrato che una versione precedente della domanda poteva essere bypassata in meno di due minuti. A seguito di tale rivelazione, la Commissione Europea ha pubblicato aggiornamenti volti a rafforzare la sicurezza dell’app e ha dichiarato di accogliere con favore i feedback della comunità della cybersecurity man mano che lo sviluppo prosegue.
L’app per la verifica dell’età è in fase di sviluppo come parte del più ampio sforzo dell’Unione Europea per proteggere i minori online preservando la privacy degli utenti. Il sistema è progettato per permettere agli utenti di dimostrare di soddisfare i requisiti minimi di età senza rivelare informazioni personali inutili ed è pensato come soluzione temporanea prima del lancio del Global Identity Wallet dell’UE.
La Commissione Europea non ha risposto pubblicamente all’ultima dimostrazione di Moore. In precedenza è stato dichiarato che il progetto è ancora in fase di sviluppo attivo e che i miglioramenti continueranno prima di una diffusione più ampia. Al momento, non ci sono indicazioni che la Commissione intenda sospendere l’iniziativa, nonostante le nuove critiche da parte dei ricercatori di sicurezza che sostengono che la sua architettura debba essere riconsiderata.
