Nello sviluppo di un software si cerca sempre di ottenere il massimo per quel che concerne aspetti come prestazioni, esperienza d'uso e sicurezza. Non di rado però è necessario raggiungere un compromesso, al fine di non penalizzare troppo una parte a scapito dell'altra. Si tratta di un processo molto delicato e dalla riuscita tutt'altro che garantita, perché bisogna prestare la massima attenzione a non portare la situazione sbilanciata all'inverso. Una delle modifiche apportate da Apple in iOS 11 sembra proprio voler cercare questo equilibrio, causando in queste ore parecchi dibattiti.

A far partire il tutto è stato un articolo pubblicato sul proprio blog da un'azienda russa, ElcomSoft, parlando di un'importante modifica occorsa alla protezione mediante password dei backup di iPhone e iPad effettuati con iTunes. Con le precedenti versioni di iOS, la password impostata aveva effetto su qualsiasi successivo salvataggio da iTunes, anche qualora venissero fatti su diversi computer, dal momento che la chiave viene conservata direttamente nel dispositivo. Nel caso ci si dimentichi della password, non ci sarà più alcun modo di poter accedere a questi backup, né tantomeno di cambiarla o rimuoverla dato che iTunes ne richiederebbe l'inserimento. Come spiegato in un post del Supporto Apple, iOS 11 offre invece una potenziale scappatoia attraverso il reset delle impostazioni, che ha effetto pure sulla password. In questo modo, anche se i backup precedenti non saranno più utilizzati se ne potranno creare di nuovi, con una diversa password.

Se la guardiamo dal punto di vista squisitamente tecnico, è a tutti gli effetti un indebolimento della sicurezza, che può essere sfruttato dai malintenzionati per ottenere informazioni che non dovrebbero invece vedere. All'atto pratico, però, si tratta di uno scenario di difficile attuazione, perlomeno non in tempi brevi. L'individuo attaccante dovrebbe infatti prendere fisicamente possesso dell'iDevice della vittima e conoscerne il codice di sblocco o ricavarselo con qualche strumento di brute-force, cosa che richiede comunque pazienza a meno di non avere la fortuna di trovarsi davanti a banalità come "1234". Stessa storia vale per l'altra situazione descritta, ovvero la possibilità di reimpostare la password di un Apple ID anche se protetto da un'autenticazione a due fattori: senza accesso fisico e completo al dispositivo la procedura descritta non risulta fattibile.

Si tratta dunque di un indebolimento lieve ed opportunamente calcolato da parte di Apple, volto a dare un po' di flessibilità all'utente in situazioni spiacevoli come quella di una password dimenticata, in virtù dell'equilibrio di cui parlavamo nel primo paragrafo. Una situazione ben diversa da quella vistasi nei giorni scorsi con l'account "root" su macOS, che era una negligenza molto grave. Come sottolinea poi Rene Ritchie su iMore, il compromesso descritto riguarda più noi comuni cittadini che le aziende o le personalità di spicco, per le quali si fa spesso ricorso a strumenti di configurazione in grado di apporre specifiche restrizioni. Inoltre, è possibile proteggersi ulteriormente facendo ricorso a codici alfanumerici al posto di semplici combinazioni da 4 o più cifre. Questo non significa ovviamente che ElcomSoft abbia sbagliato a parlare di questa situazione: per quanto abbia ecceduto nell'enfasi, è giusto evidenziare tutti i potenziali rischi. La vicenda è destinata a restare comunque a lungo oggetto di discussioni, tra coloro che vedono questa modifica in maniera positiva per l'esperienza d'uso e quelli che invece preferirebbero non si facesse alcuna concessione quando è in gioco la sicurezza.