Verifica dell'età, l'app UE si buca in meno di due minuti

Tra dati biometrici salvati in chiaro e PIN facilmente aggirabili, l'esperto Paul Moore svela tutte le falle dell'app.



[ZEUS News - www.zeusnews.it - 18-04-2026]

app ue falle

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Verifica dell'età online: l'UE presenta l'app ufficiale basata su documenti e identità digitali

Come prevedibile, l'app dell'Unione Europea per la verifica dell'età è immediatamente finita sotto esame. In particolare l'esperto di sicurezza Paul Moore ha individuato una serie di criticità nell'app europea per la verifica dell'età, presentata come pronta dal punto di vista tecnico e conforme ai più elevati standard di privacy. Le sue analisi, condotte direttamente sul codice open source dell'applicazione, evidenziano problemi nella gestione dei dati biometrici e nelle procedure di protezione delle credenziali locali.

Moore spiega che l'applicazione implementa meccanismi avanzati per proteggere i dati derivati dalla verifica dell'età una volta generati, ma ci sono comunque alcune debolezze importanti, tanto che in un post su X spiega come hackerare l'app «in meno di due minuti». L'informazione is_over_18: true, per esempio, viene cifrata tramite AES‑GCM, una scelta coerente con le pratiche moderne di sicurezza. Tuttavia l'attenzione dedicata alla protezione del dato finale non verebbe applicata con la stessa cura ai file sorgente utilizzati per produrlo. Durante la procedura di verifica tramite documento elettronico, l'app estrae dal chip NFC il gruppo dati DG2, contenente l'immagine biometrica del volto. Questa immagine viene convertita in un file PNG lossless e salvata nel filesystem del dispositivo. La cancellazione del file avviene solo se la procedura si conclude correttamente. In caso di interruzione, errore di scansione, chiusura dell'app o crash, il file rimane nella cache del dispositivo.

Il file è protetto unicamente dai meccanismi standard di Android basati su chiavi CE (Credential Encrypted), ma l'app non applica alcuna forma di cifratura aggiuntiva o protezione dedicata. Ciò significa che l'immagine biometrica, classificata come dato sensibile, può restare memorizzata in chiaro nella memoria del dispositivo fino a un intervento manuale o a una pulizia automatica del sistema operativo.

Una situazione differente ma ugualmente problematica riguarda le immagini acquisite tramite selfie, utilizzate come alternativa o complemento alla verifica biometrica. In questo caso, i file PNG vengono salvati non nella cache ma nello spazio di archiviazione del dispositivo, dove restano in modo permanente. Anche qui la protezione è affidata esclusivamente alle chiavi DE (Device Encrypted) del sistema operativo, senza ulteriori misure applicate dall'applicazione. La presenza di immagini biometriche non cifrate e non eliminate dopo l'uso solleva potenziali implicazioni in termini di conformità al GDPR. I dati biometrici rientrano infatti nelle categorie speciali di dati personali e la loro conservazione deve essere limitata al tempo strettamente necessario alla finalità dichiarata. L'assenza di una base giuridica per la conservazione prolungata potrebbe configurare una violazione sostanziale.

Oltre ai problemi legati ai file biometrici, l'analisi ha evidenziato vulnerabilità nella gestione del PIN scelto dall'utente durante la configurazione iniziale dell'app. Il PIN viene cifrato e salvato nella directory shared_prefs, una scelta che, secondo l'analisi tecnica, non garantisce un legame crittografico con il "vault" che contiene i dati di identità generati dall'applicazione. Modificando il file di configurazione e rimuovendo i valori relativi al PIN cifrato e al vettore di inizializzazione, un hacker può riavviare l'applicazione, impostare un nuovo PIN e ottenere accesso alle credenziali create in precedenza, che vengono presentate come valide senza ulteriori verifiche.

Nel medesimo file di configurazione sono poi presenti altri parametri modificabili che influenzano direttamente la sicurezza dell'app. Il sistema di rate limiting (che serve per limitare gli accessi ripetuti all'app) è rappresentato da un semplice contatore incrementale che può essere riportato a zero manualmente, consentendo tentativi illimitati. L'opzione UseBiometricAuth è un booleano che, se impostato su false, disattiva completamente l'autenticazione biometrica senza ulteriori controlli.

L'insieme di queste vulnerabilità suggerisce che chi abbia accesso al filesystem del dispositivo possa aggirare diversi livelli di protezione dell'applicazione in tempi molto brevi. Le criticità non riguardano solo la sicurezza dei dati biometrici, ma anche la robustezza delle procedure di autenticazione e la protezione delle credenziali generate. Tutte queste osservazioni sollevano interrogativi sulla maturità dell'applicazione e sulla sua capacità di garantire un livello di sicurezza adeguato alla sensibilità dei dati trattati. L'analisi tecnica indica che, pur essendo l'app open source e presentata come conforme agli standard più elevati, alcune scelte implementative potrebbero esporre gli utenti a rischi significativi in caso di compromissione del dispositivo o accesso non autorizzato ai file locali.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 6)

:lol: :lol: :lol: Leggi tutto
22-4-2026 18:45

E, di nuovo, è proprio questo il loro carattere distintivo. Leggi tutto
20-4-2026 20:48

{sergio}
L'U.E. non ne azzecca una, questa è peggio dei tappi di plastica.
20-4-2026 18:57

Dato che il codice e open source, creare un sistema di tecnocontrollo in questa maniera sarebbe da cialtroni, ma se sono cialtroni allora e maggiormente probabile che ti trovi difronte ad una idiozia partorita da imbecilli, e guarda Johannes, più del Dottor Male, che cerca di soggiogare il mondo ad un perfido disegno malefico, devi... Leggi tutto
20-4-2026 16:37

{buonpersico}
"Tutte queste osservazioni sollevano interrogativi sulla maturità dell'applicazione...". Mah, io direi che sollevano interrogativi sulla maturità di chi ha realizzato l'applicazione e su chi avrebbe dovuto controllarla. L'alternativa sarebbe quella presentata da un altro utente, e cioè che la... Leggi tutto
20-4-2026 10:44

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual è la politica della tua azienda nei confronti dei dispositivi mobili dei dipendenti? Bring Your Own Device oppure Corporate Owned, Personally Enabled?
BYOD
COPE
Non c'è una policy dominante, dipende dagli utenti
Non lo so
Non lavoro in un'azienda

Mostra i risultati (1069 voti)
Luglio 2026
PayPal crolla e diventa preda
Basta una dieresi per mandare in crisi l'app IO
Furgone segue il navigatore e arriva a un rifugio di montagna
Microsoft: preparatevi a un diluvio di patch
Torlink, il motore torrent da terminale che unifica ricerca e download
La stampante completamente open source è quasi pronta
Windows 11 identifica ogni PC con un codice unico: così è stato arrestato un diciannovenne
Certificati, finalmente la PA accede direttamente all'Anagrafe Nazionale
Il bug in Windows 11 che divora fino a 70 GB di spazio
WhatsApp, al via la prenotazione dei nomi utente
Giugno 2026
Hackerata Trenitalia, rubati i dati di viaggio dei passeggeri
L'UE approva l'euro digitale
L'avanzata delle dark factory: 1300 lavoratori sostituiti da 50 robot
Il telefono minimalista di Commodore che sfida gli smartphone tradizionali
Recesso online, obbligatorio il pulsante su tutti gli e-commerce
Tutti gli Arretrati
Accadde oggi - 18 luglio


web metrics