Un periodo decisamente nero quello che sta vivendo Apple, duramente criticata da parte degli esperti in sicurezza per i catastrofici bug di iOS, le vulnerabilità zero-day e, ancora una volta, per le carenti policy di sicurezza del proprio Developer Enterprise Program.
Secondo delle recenti indagini, ci sarebbe un nuovo problema con i certificati Enterprise rilasciati alle aziende dalla società di Cupertino, che lascerebbe aperta la possibilità agli hacker per distribuire liberamente app iOS pirata sull’App Store. E tutto questo sta avvenendo mentre uno dei più grandi rivali, Google, sta lavorando duramente e, presumibilmente, sta facendo grandi progressi nel combattere e rimuovere dal proprio Play Store app Android dannose.
App pirata su iOs
Sembra dunque che sia abbastanza facile aggirare le regole del programma Enterprise per gli sviluppatori Apple, ottenendo così il via libera alla distribuzione gratuita di versioni di Spotify, Angry Birds, Pokemon Go, Minecraft e altre app iOS altrettanto popolari, al di fuori del mercato ufficiale di Apple.
Teoricamente gli iPhone sono programmati per bloccare i tentativi di installazione di app da fonti non conosciute e non tracciate. Tramite un escamotage basato sui certificati Enterprise, tuttavia, un gruppo di distributori di software illeciti, tra cui aziende come TutuApp, Panda Helper, AppValley e TweakBox sono riusciti ad aggirare la verifiche effettuate dall’App Store.
Si tratta in buona sostanza di aziende apparentemente legittime che distribuiscono software leciti, ma in realtà queste offrono ai consumatori metodi illegittimi per ascoltare musica in streaming gratuitamente o evitare costi di installazione e acquisti in-app previsti dai videogame più popolari. Teoricamente il rischio riguarda più le aziende produttrici di queste app, alle quali vengono sottratte delle entrate, ma potenzialmente esistono dei problemi di sicurezza anche per gli utenti, non trattandosi di applicazioni controllate e sicure, soprattutto vista la facilità con la quale gli hacker riescono a distribuire software contraffatti sull’app Store.
Un brutto capitolo della storia Apple che si aggiunge a quello di cui abbiamo parlato qualche tempo fa, relativo agli abusi sui certificati Enterprise da parte di Facebook e Google, con conseguenti violazioni della privacy degli utenti iPhone, e a tutte le varie app illegali (pornografia, gioco d’azzardo e quant’altro) che girano sui dispositivi iOS di tutto il mondo, senza un’adeguata autorizzazione.
Autenticazione a due fattori
Per risolvere il problema, Apple starebbe implementando un processo di autenticazione a due fattori per gli account degli sviluppatori, prevedendo l’invio di un codice e una password sullo smartphone. Il nuovo metodo di autenticazione a due fattori per la protezione dell’ID Apple, che diventerebbe obbligatorio per gli sviluppatori, dovrebbe partire da fine mese consentendo l’accesso solo da dispositivi autorizzati, ma sarà sufficiente?
