La battaglia ingaggiata dalle software house contro i malintenzionati, per difendere i nostri dispositivi da attenzioni spiacevoli, non avrà probabilmente mai fine. Fino ad alcuni anni fa, questo non sembrava preoccupare granché Apple, che con la sua quota di mercato non troppo vasta si sentiva marginalmente coinvolta dalle problematiche cui si assisteva già su altre piattaforme e reagiva in modo lento alle minacce che le si presentavano. Oggi a Cupertino hanno preso più sul serio la questione e accelerato molto i tempi di reazione, anche se non ancora in tutte le situazioni. Il caso in esame rientra tra quelli in cui sono stati bravi ma non troppo, nell’ambito di alcune falle piuttosto gravi scoperte dal team di Google Project Zero ad inizio anno.
A partire da iOS 10 nel 2016, arrivando sino ad iOS 12 lo scorso anno, un totale di 14 vulnerabilità ha permesso a 5 diverse tipologie di exploit di agire indisturbate sugli iPhone delle vittime malcapitate. Tecniche diverse l’uno dall’altro, che si possono approfondire dai link dell’articolo sopra raggiungibile, ma tutti con una base ed una finalità comune. La base, un sito web opportunamente compromesso visitato dall’utente. La finalità, l’installazione temporanea di un software apposito, non visibile durante l’uso del dispositivo, in grado di carpire i dati personali e tracciare la posizione, inviando periodicamente il tutto ad un server remoto. Il processo veniva eliminato in caso di spegnimento o riavvio dell’iPhone, ma bastava visitare nuovamente un sito col codice malevolo affinché il circolo riprendesse.
Le falle sono state comunicate da Google ad Apple in forma privata il 1° febbraio scorso, con una clausola di non divulgazione valida per i 7 giorni successivi. Apple non ha perso tempo, correggendole prima della scadenza con iOS 12.1.4, che per l’occasione risolse pure altri bug come quello noto che coinvolse FaceTime di gruppo. Restano però irrisolte su iOS 10, che è l’ultima release per alcuni terminali come iPhone 5, e il recente aggiornamento a sorpresa 10.3.4 non sembra essere andato oltre il correttivo per il GPS; similmente anche iOS 11 rimane vulnerabile, seppure nel suo caso il problema si risolve aggiornando alla versione corrente. Ancor più viene da chiedersi come abbiano fatto questi problemi a persistere per oltre due anni, passando inosservati agli occhi del team di ingegneri di Craig Federighi. Il fattore umano è in questi casi determinante, purtroppo: basta un errore o anche una dimenticanza, dovuta dalla fretta o dall’incuria in quel momento, per far sì che qualcosa d’indesiderato finisca nei rilasci pubblici, come successo pure qualche settimana fa. A maggior ragione sarà fondamentale l’annunciato incremento della cooperazione coi ricercatori di sicurezza, in modo che le forze benigne riescano ad individuare le vulnerabilità più rapidamente ed efficacemente, prevenendone l’uso da parte di criminali che hanno tutto l’interesse a tenersele per sé quanto più a lungo possibile.