Un ricercatore bypassa l'app di verifica dell'età dell'UE con un'estensione di Chrome

Un ricercatore bypassa l’app di verifica dell’età dell’UE con un’estensione di Chrome

Se sei un utente comune che cerca di capire come funziona la nuova verifica dell’età in Europa, la cosa principale da sapere è che il sistema attuale non è sicuro come promesso. Un esperto di sicurezza ha appena dimostrato che è possibile aggirare completamente l’app ufficiale dell’UE in pochi minuti, senza bisogno di competenze tecniche avanzate. La soluzione rapida per chi vuole proteggere i dati o evitare controlli inefficaci è non affidarsi esclusivamente a questa app per la verifica dell’età, poiché un semplice strumento digitale può rendere inutile tutto il processo di controllo.

Il ricercatore di sicurezza Paul Moore ha esposto una volta ancora le critiche vulnerabilità nel sistema di verifica dell’età principale dell’Unione Europea. Questa volta, ha riuscito a bypassare l’ultima versione rilasciata dell’applicazione, identificata come 2026.07-1, utilizzando un’estensione di Chrome potenziata da ClaudeAI. La dimostrazione del concetto (PoC) mostra che, nonostante mesi di annunci riguardanti un “rafforzamento della sicurezza”, un difetto fondamentale nella progettazione del modello di verifica anonima dell’età permette ancora di riutilizzare attestazioni di essere sopra i 18 anni senza collegarle a un’identità reale di un utente.

In un video recentemente pubblicato su X, Paul Moore illustra come l’app di verifica dell’età aggiornata dell’UE possa essere ingannata per accettare ripetutamente lo stesso token “sopra i 18” nel browser. Questo avviene senza alcuna verifica fresca o collegamento all’identità dell’utente. L’estensione non attacca la crittografia né rompe i controlli lato server, ma intercetta e riproduce la prova anonima dell’età ogni volta che un sito richiede la verifica dell’età. In pratica, riutilizza un’attestazione di successo singola in multiple sessioni, trasformando una singola verifica in un passaggio generico per l’accesso adulto su diversi siti.

Il problema centrale sorge dalla politica dell’UE che mira a controlli dell’età “che preservano la privacy”, evitando di condividere nomi, identificativi o altri dati sensibili con i siti web. Tecnologicamente, questo si traduce in un modello di attestazione anonima, dove il verificatore riceve solo un’affermazione binaria come “l’utente è sopra i 18” invece di un profilo di identità completo. Questa separazione tra l’affermazione dell’età e l’identità dell’utente diventa la vulnerabilità principale sfruttata dall’estensione. Poiché l’app è progettata per confermare solo che un utente è sopra una certa età, il sito che si fida non sa mai se la prova appartiene alla persona effettivamente alla tastiera.

Paul Moore ha sottolineato che il suo bypass dimostra che, nella pratica, questa anonimizzazione previene un legame robusto tra l’attestazione, l’utente e la sessione specifica. Se un singolo token valido sopra i 18 può essere catturato e riprodotto, il sistema non può distinguere l’uso legittimo dall’abuso. Il risultato è una situazione in cui qualsiasi utente tecnicamente capace o un attore malintenzionato può trasformare efficacemente una verifica genuina in un “passaggio di accesso adulto” generico per molteplici contesti e siti.

I funzionari dell’UE hanno affermato che l’app ha ricevuto tre mesi di miglioramenti della sicurezza, inclusi un migliore storage dei segreti e protezioni lato client più robuste. Tuttavia, Moore ha dichiarato che le patch incrementali non possono risolvere il problema architettonico sottostante: il modello di fiducia dipende ancora da prove anonime e riutilizzabili con contesto limitato e resistenzaweak agli attacchi di replay o automazione. Da un punto di ingegneria della sicurezza, questo è meno un “bug” e più un mismatch strutturale tra le esigenze di privacy e le esigenze di enforcement.

Per gli operatori di siti web che si preparano per i mandati di verifica dell’età dell’UE, il lavoro di Paul Moore è un avviso che affidarsi esclusivamente all’app ufficiale potrebbe non garantire la protezione prevista. Gli attaccanti non hanno bisogno di exploit zero-day o malware complessi; possono sfruttare l’automazione del browser e la logica delle estensioni per bypassare i controlli di politica al livello di integrazione.

Technical Deep Dive

Per gli utenti tecnici e gli ingegneri di sicurezza che desiderano comprendere i dettagli specifici del bypass, è fondamentale analizzare la struttura interna dell’app e la logica dell’estensione. L’app di verifica dell’età dell’UE stocka un PIN creato dall’utente e crittografato nella directory shared_prefs. La crittografia di questo PIN non è legata al vault di identità dell’utente, dove sono conservati i dati di verifica sensibili. Questo disallineamento apre la strada a un bypass sorprendentemente semplice: eliminando i valori PinEnc e PinIV dal file di configurazione, riavviando l’app e impostando un nuovo PIN, un attaccante può accedere e presentare credenziali da un profilo precedentemente iscritto come valide.

Altri flag nel stesso file di configurazione, inclusa il contatore di rate-limiting (che può essere resettato a zero per tentativi infiniti) e il booleano UseBiometricAuth (che può essere modificato da true a false per bypassare i controlli biometrici), sono altrettanto triviali da modificare utilizzando strumenti di editing file di base. Il processo completo richiede meno di due minuti. Moore ha poi portato la logica core in un’estensione di Chrome che rileva i codici QR dai verificatori, genera payload crittograficamente compatibili e completa la verifica dell’età istantaneamente, potenzialmente saltando l’iscrizione biometrica o addirittura hard-codando le credenziali.

Il componente issuer dell’app, la parte del sistema che crea e firma le credenziali di età, non ha modo di verificare che la verifica del passaporto sia effettivamente avvenuta sul dispositivo dell’utente. Moore ha ricreato la logica di generazione delle credenziali dell’app utilizzando un’estensione di browser e ha generato risposte di verifica false che le piattaforme accettano come prova di età valida. Questo significa che il bypass non è limitato agli utenti con dispositivi rooted che possono modificare shared_prefs. Un developer sufficientemente motivato può generare credenziali di età che sembrano valide interamente fuori dall’app. Il verificatore “fiducia pienamente” l’output, sottolineando ciò che Moore ha chiamato un trade-off fondamentale di progettazione: senza legami crittografici alle chiavi personali (che introdurrebbero rischi di tracking), il sistema rimane vulnerabile alla replicazione o all’impersonificazione.

L’estensione di Chrome intercetta le richieste di rete e modifica i flag di JavaScript che controllano la verifica dell’età, inserendo un hook all’avvio della pagina prima che qualsiasi altro codice sia eseguito. Quando la variabile viene impostata, l’estensione imposta un override per il flag della funzionalità, garantendo che il flag sia unset quando la pagina si carica. Questo permette di bypassare il controllo dell’età semplicemente assicurandosi che il flag non sia attivo. La crittografia del PIN locale, non legata all’identità, e la gestione dei flag biometrici e di rate-limiting in un file di configurazione in testo chiaro e modificabile dall’utente, rappresentano le vulnerabilità critiche che rendono il sistema insicuro contro attacchi di replay e automazione.

Fonte: https://cybersecuritynews.com/researcher-bypass-of-eu-age-verification/

Torna in alto