Non dovrebbe succedere, ma talvolta succede. Gli App Store di Apple hanno numerosi pregi e difetti, principalmente garantendo negozi digitali di software ben curati e semplici da ottenere in sicurezza, ma a quello che vari ritengono sia il costo morale di rinchiudersi in un giardino recintato, “walled garden”. Nella maggioranza dei casi, e in certi anche con fin troppo zelo, il team che controlla le applicazioni prima del rilascio sugli Store assicura che rispettino gli standard qualitativi implicati dall’articolato regolamento. Tuttavia qualcosa è andato storto recentemente nel Mac App Store, il che ci riporta alla prima frase di questo post e dunque al nocciolo della questione.

Fino a qualche ora fa, almeno per quel che riguarda il Mac App Store americano, il primo posto della classifica delle utility più acquistate era occupato da “Adware Doctor” (che era comunque in vendita pure sullo Store italiano, al costo di 5,49 €). All’apparenza nulla di strano: ci sta che un’app utile a rimuovere il malware, specialmente ad un prezzo non troppo esagerato, vada a stabilirsi tra i primi posti, forte pure di recensioni largamente positive. Ma non era tutto oro ciò che luccicava, e alcune segnalazioni su Twitter hanno catturato le attenzioni del ricercatore di sicurezza Patrick Wardle, a ben ragione considerando il report sul suo blog Objective-See.

Acquistata ed installata l’utility, nulla di strano. Un’interfaccia molto semplice ed accattivante, che guidava l’utente nella rimozione di eventuali malware presenti su Mac e si offriva di reimpostare i browser installati per eliminare qualsiasi traccia. Già la storia di questo prodotto, a cura dello sviluppatore Yongming Zhang, mostrava però scricchiolii. Nel 2016 l’app era stata infatti rimossa dallo Store in quanto aveva lo stesso nome, “Adware Medic”, di una rivale proveniente dalla ben più nota MalwareBytes. Scavando tra le recensioni, sono emerse ulteriori incongruenze che hanno portato a bollare come false la stragrande maggioranza di quelle positive; le contrarie lamentavano invece un’assoluta inutilità dell’app.

Continuando nelle indagini, inizialmente Wardle non ha notato segni particolari che suggerivano un cattivo funzionamento di “Adware Doctor”. Le definizioni antimalware scaricate risultavano strutturate e codificate in maniera analoga ad altre app di settore. All’avvio del processo di pulizia è arrivato però il bello: prima di ripulire i browser, il programma si premuniva di salvarne la cronologia in un file ZIP per inviarla poi ad un server cinese. “Adware Doctor” presentava però ramificazioni ancor più inquietanti, dato che tra le autorizzazioni concesse dalla firma digitale di Apple a suggello dell’approvazione sullo Store vi era pure l’accesso a file e cartelle presenti sul Mac, previo consenso dell’utente in modo da rispettare la sandbox del sistema operativo che impedisce accessi automatici ai dati. Giocando sul fatto che i veri antimalware hanno effettivamente tale necessità per le loro scansioni, è facile immaginare che la maggioranza abbia concesso al prodotto di Zhang i permessi necessari al primo avvio. Se questo non fosse abbastanza, l’app era in grado di ottenere un elenco completo dei processi in esecuzione (cosa che invece in accordo alla sandbox non dovrebbe fare, ma paradossalmente frutto di un’assist involontario di Apple attraverso del codice dedicato a tale operazione pubblicato sul sito Developer) nonché dei file scaricati.

Insomma, l’antimalware era esso stesso un malware. Qualche ora fa Apple è corsa ai ripari, rimuovendo “Adware Doctor” dall’App Store (e casomai la si avesse installata è bene disinstallarla immediatamente portandola nel Cestino nonché facendo una scansione per eventuali rimasugli con un vero antimalware come Malwarebytes). Peccato che la rimozione sia avvenuta ad un mese esatto dalla segnalazione di Wardle al team dedicato, grazie alla recente popolarità della notizia. Rimarrà un mistero, più in generale, per quanto tempo “Adware Doctor”, ipotizzando la release originale del 2016 non agisse così, abbia compiuto indisturbata i suoi lavori malevoli. Altri misteri sono poi il modo in cui è arrivata ai vertici della classifica dell’App Store così come la permanenza nonostante di molteplici violazioni delle regole, dato che l’accesso ai dati personali dell’utente era per finalità tutt’altro che tecniche.

Una situazione che senz’altro, a pochissimi giorni dal keynote settembrino, non giova certo a Phil Schiller e alla sua opera di graduale rinnovamento dell’App Store così come del rapporto con gli sviluppatori. La stessa solerzia nella rimozione vista in altri casi di violazioni del regolamento perlopiù per motivi commerciali dovrebbe essere applicata pure quando l’app non solo è di bassa qualità e non svolge quanto promesso ma a maggior ragione mette a repentaglio la sicurezza degli utenti. Un aspetto in cui, purtroppo e per fortuna al tempo stesso, il margine d’errore è zero. Speriamo in futuro di vedere una maggiore proattività da parte di Apple, mantenendo costantemente al sicuro il suo Store.