Fatta la regola, trovato l'inganno: le app vietate sullo Store si diffondono attraverso i certificati Enterprise

Leggi questo articolo grazie alle donazioni di Emanuele Beffa, Antonio Fedele Martina.
♥ Partecipa anche tu alle donazioni: sostieni SaggiaMente, sostieni le tue passioni!

Le recenti vicende delle app di ricerca di Facebook e Google sono ancora piuttosto fresche, soprattutto perché hanno scovato un utilizzo scorretto dei certificati Enterprise Apple da parte dei due colossi. Giova ricordare infatti che tali certificati sono stati pensati soprattutto per la diffusione di app su scala limitata, prettamente in contesti interni aziendali; in quei casi sono stati invece sfruttati per rendere disponibili software che altrimenti non avrebbero mai visto la luce sull'App Store o sarebbero stati rimossi presto o tardi anche qualora ci fossero arrivati. È logico pensare che, se le grandi aziende fanno trucchi del genere, figurarsi realtà più piccole. Infatti, quelle stesse indagini hanno permesso a TechCrunch di scoprire un folto sottobosco di app, ben più torbide, sfruttanti il medesimo metodo dei certificati per raggiungere la propria utenza.

Il regolamento dell'App Store è piuttosto chiaro nell'esplicitare le categorie non ammesse. Al punto 1.1.4 esclude espressamente qualsiasi materiale pornografico, mentre il 5.3 regola nel dettaglio i casi in cui le app di scommesse sono ammesse nel negozio digitale. Non sorprende che sono proprio prodotti in violazione di queste norme a beneficiare dei certificati Enterprise. Del resto, il loro ottenimento è praticamente alla portata di tutti coloro che hanno $299 annui a disposizione, non di certo un problema per chi lucra bene nelle soprammenzionate categorie. Tutto ciò che chiede Apple è di essere il legale rappresentante per l'iscrizione, fornire il numero D-U-N-S ad essa associato, avere un Mac sempre aggiornato per lo sviluppo delle app tramite Xcode e... Confermare (giurin giuretta!) che le applicazioni rilasciate attraverso il profilo di configurazione legato al certificato verranno utilizzate solo internamente in azienda. È un errore pensare che sia davvero necessaria la costituzione o la preesistenza di un'entità giuridica, fungendo da ostacolo per i malintenzionati: a quanto pare Apple si accontenta di un qualsiasi numero D-U-N-S. In qualche settimana al massimo, la nuova iniziativa underground può essere avviata.

Ben pochi ostacoli nell'arruolarsi, ancor meno nel distribuire le app agli utenti. L'installazione dei profili di configurazione è alla portata di qualche tap e soprattutto non richiede alcun jailbreak, mantenendo così il dispositivo tecnicamente inalterato. Il gioco è fatto. Incalzata da TechCrunch sulla vicenda, Apple si è trincerata dietro un sostanziale no comment, limitandosi ad affermare che tutte le aziende che distribuiscono app in violazione del programma Enterprise vedranno invalidati i loro certificati. Tuttavia, dalle verifiche effettuate dalla testata, sinora sono state ben poche le disattivazioni, mantenendo così inalterato un mercato parallelo dominato soprattutto da sviluppatori in Cina e Hong Kong. Non solo le app, ma anche gli stessi certificati spesso diventano oggetto di business, venendo "affittati" a prezzi convenienti presso appositi siti e agevolando ancor più la proliferazione di queste attività.

Sin dal debutto dell'App Store, Apple aveva mantenuto un pugno duro nei confronti di quei contenuti ritenuti inopportuni, con l'indimenticabile invito da parte di Jobs ad acquistare un dispositivo Android per tutti coloro che apprezzavano tali categorie. Ironia della sorte, Apple ha di fatto offerto essa stessa una scappatoia alle regole stabilite. Naturalmente scatteranno rimedi a stretto giro di posta e a subirne le conseguenze, oltre agli sviluppatori in esplicita violazione, saranno purtroppo anche coloro che utilizzano od intendono utilizzare i certificati Enterprise nel modo corretto, con procedure più lunghe e stringenti. Un inevitabile prezzo da pagare, con la consolazione che sarà per la sicurezza di tutti, anche se non si può dimenticare come il torto iniziale l'abbia commesso proprio chi doveva vigilare.

Giovanni "il Razziatore"

Deputy - Ho a che fare con i computer da quando avevo 7 anni. Uso quotidianamente OS X dal 2011, ma non ho abbandonato Windows. Su mobile Android come principale e iOS su iPad. Scrivo su quasi tutto ciò che riguarda la tecnologia.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.