Probabilmente, è stato uno degli hackeraggi più veloci degli ultimi anni. Tanto veloce che potrebbe essere citato nel Guinnes dei primati. Con un banale gioco di parole, potremmo dire che si è trattato di un gioco da ragazzi. Solo due giorni fa Ursula Von der Leyen, aveva annunciato trionfalmente il lancio della nuova App europea, Age Verification, progettata per la verifica dell’età degli utenti che accedono alle piattaforme di social media e in meno di due minuti, come ha scritto Pavel Durov in un post su X, l’app è stata bucata, dimostrando tutta la sua fragilità.
“Abbiamo la risposta – aveva commentato nel post la presidente della Commissione Europea decantando l’applicazione - perché la nostra App di verifica dell'età è tecnicamente pronta e presto disponibile per i cittadini. Sappiamo che la tecnologia digitale può offrire ai bambini opportunità incredibili, possono imparare più velocemente attraverso strumenti interattivi (…), ma siamo anche molto consapevoli che questi benefici comportano dei rischi. Un bambino su sei viene vittima di bullismo online. Un bambino su otto sta bullizzando un altro bambino online. È nostro dovere proteggere i nostri figli nel mondo online, proprio come facciamo nel mondo offline. Perché i diritti dei bambini nell'Unione Europea vengono prima degli interessi commerciali”.
Una premessa condivisibile, ineccepibile, se non fosse per il piccolo particolare, che ha aperto una voragine, che l’App si è rivelata attaccabile proprio per la privacy. Infatti, come ampiamente documentato in una serie di video postati su X, durante la configurazione l'app chiede all’utente di creare un PIN, un codice personale di identificazione, e dopo l'inserimento, questo codice viene crittografato salvato nella directory shared_prefs, che non è legata crittograficamente al vault che contiene i dati di identità. Quindi, un hacker con competenze basiche può semplicemente rimuovere i valori PinEnc/PinIV dal file shared_prefs e riavviare l'app e dopo aver scelto un PIN diverso, l'app presenta le credenziali create sotto il vecchio profilo e permette all’hacker di accedere.
L’imbarazzo è stato grande, nonostante fonti non ufficiali si siano affrettate a precisare che l’hackeraggio è stato effettuato su una precedente versione demo e non su quella presentata da Ursula von der Leyen: “avevamo identificato quella vulnerabilità nella versione demo e l'abbiamo corretta in quella finale”. In ogni caso, il danno di immagine è stato enorme e continuerà, a prescindere dai correttivi apportati, continuerà in qualche misura a condizionare gli utenti che decideranno di utilizzarla.