Attacco ad Hacking Team: il coinvolgimento di Apple è solo fumo senza arrosto

Nelle ultime ore non si fa che parlare dell’attacco informatico alla società milanese Hacking Team Srl che, come può ben suggerire il nome, si occupa di sviluppare software di spionaggio anche per conto di organizzazioni (più o meno) governative. Dalla immensa mole di dati trafugati dai pc dei soci fondatori e dell’amministratore della società (peraltro, quasi tutti dotati di Windows al posto di un ben più sicuro Unix/Linux) pari a quasi 400 Gb scaricabili dai circuiti Torrent, sarebbero emersi alcuni dettagli abbastanza controversi sull’attività di HT che, oltre a fornire i propri software di controllo remoto di massa anche a Stati in black list come il Sudan (reato per il quale è prevista la reclusione), avrebbe sviluppato un modo per spiare gli utenti iOS con dispositivi jailbroken su cui è possibile eseguire codice non autorizzato da Apple. Fin qui, dunque, nulla quaestio: l’annullamento delle protezioni di iOS è sempre stata una procedura caldamente sconsigliata da Cupertino e, quindi, chi la effettua, accetta tutti i rischi annessi e connessi.

hacking-team

Il problema, invece, parrebbe essere di chi ha un dispositivo iOS originale, mai modificato: infatti, secondo quanto riporta il sempre chiaro ed obiettivo Paolo Attivissimo sul suo blog (e permettetemi di consigliarvi la sottoscrizione al suo feed RSS), Apple avrebbe fornito ad Hacking Team un certificato digitale di tipo iOS enterprise developer (Subject: UID=DE9J4B8GTF, CN=iPhone Distribution: HT srl, OU=DE9J4B8GTF, O=HT srl, C=IT), in modo da poter firmare le app in proprio ed installarle sui dispositivi target senza passare da App Store (ad esempio, inviando il link per scaricare ed installare l’app per email o sms). A differenza di quanto sostenuto da alcuni blog “sensazionalistici”, Apple non è direttamente coinvolta nella vicenda: infatti, qualsiasi società, al fronte del pagamento di $299,00, può aderire al Developer Enterprise Program che permette di ricevere un certificato come quello fornito ad Hacking Team per la distribuzione di app proprietarie ai propri dipendenti. Ad esempio, la società Alpha può acquistare un certificato iOS Enterprise Developer per consentire ai propri collaboratori l’uso di una propria app per la consultazione del database di clienti e merci. Basti pensare che lo stesso sistema è utilizzato da Readdle per permettere l’accesso ai propri utenti al beta program per il test delle versioni future delle proprie applicazioni. Dunque, ancora una volta, il nome di Apple è stato associato da alcuni ad uno scandalo per il gusto del sensazionalismo fine a se stesso. iOS continua ad essere il sistema operativo mobile più sicuro sul mercato e, se si ha la paura di essere spiati, il consiglio è, ovviamente, di non installare app non provenienti da App Store ed evitare l’esecuzione della procedura di jailbreak sui propri dispositivi. Lo stesso consiglio vale per gli utenti di OS X: installare sui propri Mac destinati al lavoro software di dubbia provenienza o non firmato potrebbe costare la perdita della vostra privacy (e di quella dei vostri clienti).

Elio Franco

Editor - Sono un avvocato esperto in diritto delle nuove tecnologie, codice dell'amministrazione digitale, privacy e sicurezza informatica. Mi piace esplorare i nuovi rami del diritto che nascono in seguito all'evoluzione tecnologica. Patito di videogiochi, ne ho una pila ancora da finire per mancanza di tempo.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.