Eccomi tornato dalla pausa estiva. Contrariamente allo scorso anno non ho potuto creare ulteriori iniziative come la storia dei Mac-felini, del resto la mia situazione lavorativa allora era del tutto diversa. Come ben si saprà dagli scorsi mesi, spesso non lesino anche qualche punzecchiatura vivace all'azienda, cosa che comprensibilmente ai più affezionati non piace, ma il mio obiettivo non è quello di parlarne per forza male. Le critiche che rivolgo, e che più in generale rivolgiamo qui su SaggiaMente, vogliono essere fini al miglioramento, e siamo contenti quando una situazione problematica viene risolta. In questo caso, purtroppo, parliamo di un bug non ancora risolto: si tratta della recente vulnerabilità scoperta in iOS riguardante gli SMS, la quale consente di mascherare il mittente originario del messaggio. In questo modo, un malintenzionato, ad esempio, può far apparire un SMS ricevuto sull'iPhone come se fosse proveniente da un nostro amico, inducendoci così un senso di sicurezza, pensando che egli non potrebbe mai voler fare azioni illecite (e in effetti non lo vuole, dato che non è stato l'amico a inviare il messaggio). Questo perché, come per le email, anche nei "messaggini" è incluso un header, in cui è presente sia un campo contenente il numero del mittente sia un altro campo in cui compare il recapito telefonico a cui inviare l'eventuale risposta. Proprio quest'ultimo campo risulta essere il pomo della discordia, poiché è liberamente modificabile.

La falla originaria, dunque, è direttamente al cuore del servizio SMS, e difatti questa tecnica di spoofing viene praticata da diverso tempo. A tale bug, però, si aggiungono anche quelli del sistema operativo. Nel caso di iOS (ma non solo), infatti, il campo dell'header che viene preso in considerazione è quello del numero a cui rispondere. La spiegazione di una scelta del genere potrebbe essere abbastanza semplice: lo spoofing via SMS è considerato una pratica dalla diffusione relativamente rara, e di norma il recapito di risposta coincide con quello del mittente. Così facendo, però, nei casi peggiori si è esposti al rischio sopraccitato. Basterebbe dunque fare in modo che vengano eventualmente visualizzati entrambi i campi, o quantomeno segnalata l'incongruenza, per far sì che lato software la vulnerabilità non possa più creare guai, a meno di non volerci proprio cascare con tutte le scarpe.

La risposta di Apple non si è fatta attendere. A Engadget l'azienda ha suggerito l'utilizzo di iMessage in sostituzione dei comuni SMS. Nel servizio di Cupertino, infatti, i dati dei mittenti vengono verificati in modo da prevenire all'origine qualsiasi tentativo di spoofing. Certamente una funzionalità di sicurezza notevole, per iMessage. Circumnavigare il problema, però, non significa risolverlo, purtroppo per Apple. Prima di tutto, come ho già spiegato, vi è la possibilità di risolvere in maniera relativamente semplice la questione con un maggiore controllo sull'header dell'SMS ricevuto. Oltre a ciò, però, vi è una considerazione ancor più importante: iMessage è un servizio confinato ai dispositivi Apple. E poiché non tutti hanno un iDevice con iOS 5.x o un Mac con Mountain Lion per poter rispondere, la possibilità di considerarlo un reale sostituto degli SMS cade immediatamente.

Stavolta non ci sono scuse che impediscano di sistemare il bug, se non in iOS 5, almeno nella ormai sempre più prossima versione. E mettersi la campana di vetro perché fuori ci sono dei malintenzionati suona quasi come una resa, che non può essere accettata. Se proprio si vuole suggerire una soluzione alternativa in attesa che il baco venga definitivamente risolto, il suggerimento è di pensare piuttosto ad applicazioni come il buon WhatsApp, multi-piattaforma e quindi maggiormente candidato a sostituire gli SMS.