Continuano i casi di uso inappropriato dei certificati Enterprise: app-pirata scovate a diffondersi in tale modo

Leggi questo articolo grazie alle donazioni di Luca Stauder, Davide Catena.
♥ Partecipa anche tu alle donazioni: sostieni SaggiaMente, sostieni le tue passioni!

Proseguono senza sosta su iOS i ritrovamenti di app non consentite che sfruttano i certificati Enterprise forniti da Apple per diffondersi anche al di fuori dell’App Store. Dopo i casi di Facebook e Google, e più di recente quello relativo a contenuti spinti, ora nel mirino sono finite le app-pirata. Fenomeno comune tanto su iOS quanto, forse ancor di più, su Android, si tratta di versioni modificate di note applicazioni per rimuovere pubblicità e/o accedere a funzionalità premium senza pagarle allo sviluppatore legittimo. Quasi superfluo rimarcare che si va nell’illecito, oltre che a cambiare spesso solo il destinatario dei pagamenti, dato che questi distributori “underground” monetizzano attraverso finti abbonamenti con la promessa di fornire app migliori delle originali a costi inferiori.

Stavolta non è toccata a TechCrunch la scoperta, bensì alla Reuters, rinvenendo varianti modificate di Spotify, Pokémon Go ed altre app ancora diffuse attraverso i certificati Enterprise, e i profili di configurazione ad essi associati, in mano ai distributori. Segnalati i casi ad Apple, almeno per alcune delle app-pirata coinvolte è scattato il blocco attraverso la revoca dei loro certificati ma, come nel caso delle app pornografiche, molte restano invece operative e anche quelle bloccate ritornano in auge poco dopo con un nuovo certificato. Lo stato attuale del programma Enterprise non permette del resto di arginare il fenomeno, dal momento che non c’è un sistema rigido di approvazione come su App Store né tantomeno una verifica sull’uso delle autorizzazioni emesse.

Naturalmente la situazione fa male tanto alle aziende autrici delle app originali quanto ad Apple, sotto forma d’introiti marcati ma, almeno nel caso dell’ultima, anche a livello d’immagine dato che un suo strumento finito nelle mani sbagliate ha creato di fatto una backdoor nel “giardino recintato”, senza apportare modifiche rilevanti a iOS ed invalidare la garanzia del dispositivo. Sicuramente arriveranno delle contromisure, che permetteranno di riportare l’uso dei certificati Enterprise entro i contesti principalmente lavorativi per cui sono stati pensati. Difficile che quella riportata anche da Reuters avrà effetto sulla vicenda trattata: l’obbligo dell’autenticazione a due step anche per gli account sviluppatori a partire da fine mese è solo per prevenirne accessi non autorizzati.

Giovanni "il Razziatore"

Deputy - Ho a che fare con i computer da quando avevo 7 anni. Uso quotidianamente OS X dal 2011, ma non ho abbandonato Windows. Su mobile Android come principale e iOS su iPad. Scrivo su quasi tutto ciò che riguarda la tecnologia.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.