Video: How To Protect Your iPhone Privacy and Security (Ottobre 2024)
Apple ha recentemente risolto uno dei peggiori bug di sicurezza mai scoperti in iOS, che ha permesso a un chiamante FaceTime di ascoltare ciò che la gente diceva prima di rispondere alla chiamata. Quindi cosa è andato storto e possiamo prevenire un altro disastro simile?
Apple non rende pubblicamente disponibile il codice sorgente per i suoi sistemi operativi e app. Solo i tecnici, gli sviluppatori e il personale addetto all'assicurazione della qualità della società testano e correggono gli errori nelle sue applicazioni. E Apple richiede ai suoi dipendenti di firmare rigorosi accordi di non divulgazione sui suoi prodotti. Questo approccio da giardino recintato significa che dobbiamo fidarci di Apple per fornire prodotti sicuri.
Detto questo, Apple ha uno dei processi di sviluppo software più robusti in circolazione. La sua reputazione è supportata da oltre quattro decenni nella fornitura di applicazioni e prodotti sicuri e affidabili. Ma di tanto in tanto, i fallimenti della sicurezza attraverso l'oscurità - a seconda della segretezza per garantire la sicurezza - colpiscono a casa. Il bug FaceTime era un esempio.
Rispetto ai complicati bug di sicurezza che richiedono risorse ed esperienza per scoprire e sfruttare, il bug FaceTime era banale. In effetti, è stato scoperto da un quattordicenne che stava giocando a Fortnite con i suoi amici.
Ma solleva una domanda: come può un'azienda con l'integrità di Apple perdere un difetto così evidente in una delle sue applicazioni più utilizzate? È stato causato intenzionalmente da un dipendente scontento che voleva vendetta? Era una backdoor impiantata dal governo? È stato un errore onesto, uno su un milione, che avrebbe potuto sfuggire alle difese persino della compagnia più affidabile?
È difficile rispondere a questa domanda in modo indipendente. Dobbiamo fare affidamento su qualsiasi informazione che Apple ci fornisca. E finora, Apple non ha detto molto, tranne che ha risolto il difetto in iOS 12.1.4 e ricompenserà l'adolescente dell'Arizona che per primo ha segnalato il problema tecnico.
Probabilmente non sapremo mai quando è iniziato l'exploit. Secondo i rapporti, il bug si applicava a tutti i dispositivi con iOS 12.1 o successivo. Rilasciato il 30 ottobre 2018, iOS 12.1 ha aggiunto Group FaceTime, la funzionalità che conteneva il bug di intercettazione. Ma è difficile immaginare che un bug in esecuzione su centinaia di milioni di dispositivi rimanga da scoprire per diversi mesi. Forse il bug è stato introdotto più di recente, poiché il team di sviluppo di Apple ha effettuato aggiornamenti al software lato server di FaceTime. Ancora una volta, non lo sapremo se Apple non ce lo dice.
Al contrario, molte organizzazioni hanno una politica open source, rilasciando il codice sorgente completo delle loro applicazioni su piattaforme come GitHub e rendendolo disponibile a chiunque per la revisione. Esperti e sviluppatori indipendenti possono quindi verificare la sicurezza dell'applicazione.
La pratica è diventata sempre più popolare negli ultimi anni e ha persino attratto alcuni partecipanti storicamente a bocca aperta.
- iOS 12.1 risolve il problema del selfie della pelle liscia dell'iPhone 12.1 risolve il problema del selfie della pelle liscia dell'iPhone
- Pronto per la chat video? Come raggruppare FaceTime Pronto per la chat video? Come raggruppare FaceTime
- L'ultimo aggiornamento iOS di Apple risolve un bug FaceTime spaventoso L'ultimo aggiornamento iOS di Apple risolve un bug FaceTime spaventoso
Un ottimo esempio di trasparenza è l'app di messaggistica sicura Signal. Open Whisper Systems, la società che sviluppa Signal, ha pubblicato su GitHub il codice sorgente di tutte le versioni della sua applicazione. L'intera cronologia del codice sorgente dell'app, i suoi collaboratori e le modifiche apportate all'app sono visibili a tutti. Il codice sorgente di Signal è stato esaminato da centinaia di esperti e ha ottenuto l'approvazione di leader del settore come Bruce Schneier, Edward Snowden e Matt Green.
Questo significa che le applicazioni open source non hanno difetti di sicurezza? Lontano da esso. Le applicazioni con centinaia di migliaia di righe di codice sono creazioni complesse e difficili da proteggere, indipendentemente da quanti occhi esaminano il codice.
In effetti, Signal ha sfornato alcuni brutti bug propri, incluso uno che avrebbe permesso agli hacker di rubare le tue chat in chiaro. Ma a differenza delle app a sorgente chiuso come FaceTime, chiunque può facilmente rintracciare la fonte e i motivi di difetti in app come Signal, nonché quando hanno avuto origine e quali modifiche al codice o nuove funzionalità le hanno causate. Ma nel caso del bug FaceTime, dovremo speculare.
La trasparenza stabilisce fiducia. L'oscurità lo distrugge.
