Verifica dell'età, l'app UE si buca in meno di due minuti

Tra dati biometrici salvati in chiaro e PIN facilmente aggirabili, l'esperto Paul Moore svela tutte le falle dell'app.



[ZEUS News - www.zeusnews.it - 18-04-2026]

app ue falle

Come prevedibile, l'app dell'Unione Europea per la verifica dell'età è immediatamente finita sotto esame. In particolare l'esperto di sicurezza Paul Moore ha individuato una serie di criticità nell'app europea per la verifica dell'età, presentata come pronta dal punto di vista tecnico e conforme ai più elevati standard di privacy. Le sue analisi, condotte direttamente sul codice open source dell'applicazione, evidenziano problemi nella gestione dei dati biometrici e nelle procedure di protezione delle credenziali locali.

Moore spiega che l'applicazione implementa meccanismi avanzati per proteggere i dati derivati dalla verifica dell'età una volta generati, ma ci sono comunque alcune debolezze importanti, tanto che in un post su X spiega come hackerare l'app «in meno di due minuti». L'informazione is_over_18: true, per esempio, viene cifrata tramite AES‑GCM, una scelta coerente con le pratiche moderne di sicurezza. Tuttavia l'attenzione dedicata alla protezione del dato finale non verebbe applicata con la stessa cura ai file sorgente utilizzati per produrlo. Durante la procedura di verifica tramite documento elettronico, l'app estrae dal chip NFC il gruppo dati DG2, contenente l'immagine biometrica del volto. Questa immagine viene convertita in un file PNG lossless e salvata nel filesystem del dispositivo. La cancellazione del file avviene solo se la procedura si conclude correttamente. In caso di interruzione, errore di scansione, chiusura dell'app o crash, il file rimane nella cache del dispositivo.

Il file è protetto unicamente dai meccanismi standard di Android basati su chiavi CE (Credential Encrypted), ma l'app non applica alcuna forma di cifratura aggiuntiva o protezione dedicata. Ciò significa che l'immagine biometrica, classificata come dato sensibile, può restare memorizzata in chiaro nella memoria del dispositivo fino a un intervento manuale o a una pulizia automatica del sistema operativo.

Una situazione differente ma ugualmente problematica riguarda le immagini acquisite tramite selfie, utilizzate come alternativa o complemento alla verifica biometrica. In questo caso, i file PNG vengono salvati non nella cache ma nello spazio di archiviazione del dispositivo, dove restano in modo permanente. Anche qui la protezione è affidata esclusivamente alle chiavi DE (Device Encrypted) del sistema operativo, senza ulteriori misure applicate dall'applicazione. La presenza di immagini biometriche non cifrate e non eliminate dopo l'uso solleva potenziali implicazioni in termini di conformità al GDPR. I dati biometrici rientrano infatti nelle categorie speciali di dati personali e la loro conservazione deve essere limitata al tempo strettamente necessario alla finalità dichiarata. L'assenza di una base giuridica per la conservazione prolungata potrebbe configurare una violazione sostanziale.

Proposte di lettura:
Verifica dell'età online: l'UE presenta l'app ufficiale basata ...
La verifica dell'età per i minori a livello di sistema operativo
ChatGPT introduce la stima dell'età: restrizioni automatiche se pensa c...
L'anello smart che registra i pensieri

Oltre ai problemi legati ai file biometrici, l'analisi ha evidenziato vulnerabilità nella gestione del PIN scelto dall'utente durante la configurazione iniziale dell'app. Il PIN viene cifrato e salvato nella directory shared_prefs, una scelta che, secondo l'analisi tecnica, non garantisce un legame crittografico con il "vault" che contiene i dati di identità generati dall'applicazione. Modificando il file di configurazione e rimuovendo i valori relativi al PIN cifrato e al vettore di inizializzazione, un hacker può riavviare l'applicazione, impostare un nuovo PIN e ottenere accesso alle credenziali create in precedenza, che vengono presentate come valide senza ulteriori verifiche.

Nel medesimo file di configurazione sono poi presenti altri parametri modificabili che influenzano direttamente la sicurezza dell'app. Il sistema di rate limiting (che serve per limitare gli accessi ripetuti all'app) è rappresentato da un semplice contatore incrementale che può essere riportato a zero manualmente, consentendo tentativi illimitati. L'opzione UseBiometricAuth è un booleano che, se impostato su false, disattiva completamente l'autenticazione biometrica senza ulteriori controlli.

L'insieme di queste vulnerabilità suggerisce che chi abbia accesso al filesystem del dispositivo possa aggirare diversi livelli di protezione dell'applicazione in tempi molto brevi. Le criticità non riguardano solo la sicurezza dei dati biometrici, ma anche la robustezza delle procedure di autenticazione e la protezione delle credenziali generate. Tutte queste osservazioni sollevano interrogativi sulla maturità dell'applicazione e sulla sua capacità di garantire un livello di sicurezza adeguato alla sensibilità dei dati trattati. L'analisi tecnica indica che, pur essendo l'app open source e presentata come conforme agli standard più elevati, alcune scelte implementative potrebbero esporre gli utenti a rischi significativi in caso di compromissione del dispositivo o accesso non autorizzato ai file locali.

Articoli suggeriti:
Tinder, la IA analizzerà tutte le foto del rullino. Privacy sacrificata per...
Milano Linate sospende il riconoscimento facciale FaceBoarding: dubbi sulla sicu...
Addio, vecchia carta d'identità: è obbligatorio passare alla CIE e...
Riconoscimento facciale nelle scuole per velocizzare la mensa

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Il portafogli digitale UE: documenti, password e sistemi di pagamento

Commenti all'articolo (1)

Johannes
Il codice NON è stato ideato ne per essere sicuro ne per "proteggere i minori" (fo**uti ipocriti che non sono altro!). E' ideato per ragioni che ho menzionato nel mio commento precedente, sotto l'articolo "Verifica dell'età online: l'UE presenta l'app ufficiale basata su documenti e identità digitali"... Leggi tutto
18-4-2026 21:43
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Cosa ne pensi del ritocco digitale dei film classici (non solo di fantascienza)?
E' un falso storico; i film vanno visti come furono girati.
E' necessario, per evitare che certi film vengano dimenticati.
Va bene, basta che sia indicato chiaramente.
Non me ne può fregar di meno.

Mostra i risultati (3531 voti)
Aprile 2026
n. 4099 del 16-04-2026
Alexa+ debutta in Italia: conversa, agisce e si integra nella smart home
n. 4098 del 15-04-2026
Verbatim e I-O Data puntano sul Blu-ray: rinasce un mercato dato per morto
n. 4097 del 13-04-2026
La Francia abbandona Windows
n. 4096 del 09-04-2026
Router TP-Link compromessi in tutto il mondo: così gli hacker russi sottraggono le credenziali
n. 4095 del 07-04-2026
Attività sessuali, persone svestite o alla toilette, carte di credito
n. 4094 del 03-04-2026
Oracle licenzia 30.000 dipendenti via email
Marzo 2026
n. 4093 del 30-03-2026
Windows 11 avrà una barra delle applicazioni compatta in stile Windows 10
n. 4092 del 27-03-2026
CPU Intel e AMD introvabili
n. 4091 del 26-03-2026
Mozilla lancia la VPN gratuita in Firefox
n. 4090 del 24-03-2026
Windows 11, vacilla l'obbligo dell'account Microsoft
n. 4089 del 23-03-2026
Attacco informatico paralizza gli etilometri con alcolock: migliaia di veicoli fermi
n. 4088 del 20-03-2026
La Ricerca Live di Google arriva in Italia
n. 4087 del 19-03-2026
Samsung ritira il Galaxy Z TriFold dopo tre mesi
n. 4086 del 18-03-2026
Linea fissa TIM, in arrivo la rimodulazione: rincari di 2,99 euro a partire da maggio
n. 4085 del 16-03-2026
DR-DOS torna in vita: riscritto da zero in assembly, non usa codice legacy e non è open source
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 19 aprile
2025
Siti per adulti, Agcom impone la verifica dell’età con il doppio anon...
2024
Google licenzia 28 dipendenti che scioperano contro la collaborazione con Israel...
2023
Windows 11 in versione live
2022
La console a manovella è realtà
2021
Windows 10, la Timeline perde la sua funzione più utile
2020
Il software per impersonare gli altri su Zoom e Skype
2019
Galaxy Fold, lo schermo pieghevole si rompe quasi subito
2018
Scoperto per caso l'enzima che divora la plastica in un lampo
2017
Se il MacBook Pro fa ''pop''
2016
L'asciugamani ad aria è un ricettacolo di virus
2015
Uber gratis se hai bevuto troppo
2014
Google rinuncia all'ascensore spaziale e all'hoverboard
2013
Marchionne: produrre auto elettriche è masochismo
2012
La Internet Key ricaricabile di Tiscali
2011
Apple fa causa a Samsung: "Ha copiato iPad e iPhone"
2010
Brunetta: "Casella PEC per tutti"
2009
Cinquant'anni di Cobol
2008
YouFig?
2007
Zio Bill il caritatevole
2005
Il Copyriot Day
2004
Internet e democrazia
Olimpo Informatico


 
web metrics