ServizioContenuto basato su fatti, osservati e verificati dal reporter in modo diretto o riportati da fonti verificate e attendibili.Scopri di piùL’allarme di Cupertino

Apple: con il «sideloading» ogni smartphone nel mirino dei cybercriminali

La società è alle prese con una richiesta sempre più pressante relativa alla possibilità di scaricare applicazioni su un iPhone senza dover passare dall’AppStore

di Biagio Simonetta

Dieci anni senza Steve Jobs

4' di lettura

«Stiamo cercando di fare due cose diametralmente opposte contemporaneamente: fornire una piattaforma avanzata e aperta agli sviluppatori e allo stesso tempo proteggere gli utenti dell’iPhone da virus, malware, attacchi alla privacy, ecc. Non è un compito facile». Era il 17 ottobre del 2007 quando Steve Jobs pronunciò queste parole. Ed è a queste parole che Apple, ancora oggi, vuole tenere fede.

La società di Cupertino è alle prese con una richiesta sempre più pressante relativa al sideloading, e cioè la possibilità di scaricare applicazioni su un iPhone senza dover passare necessariamente dallo store ufficiale di Apple (l’AppStore). Dunque attraverso il download diretto. Un'eventualità che da un lato sembra poter offrire opportunità ad alcuni sviluppatori, ma che dall'altro mette in serio dubbio la capacità (nota da anni) degli iPhone, di rimanere abbastanza immuni da attacchi di cybersicurezza.

Loading...

Il report di Apple

Ed è quello che trapela in modo violento anche dal report “Building a Trusted Ecosystem for Millions of Apps”, che Apple ha da poco pubblicato sul suo sito. Trenta pagine in cui viene spiegato - con esempi concreti – come il sideloading metta a rischio tutto l'ecosistema Apple e soprattutto i suoi utenti.

«Sostenere il sideloading attraverso il download diretto e app store di terze parti sarebbe paralizzare la privacy e le protezioni di sicurezza che hanno reso iPhone così sicuro, ed esporrebbe gli utenti a gravi rischi per la sicurezza», è scritto nello studio. E l'esempio più diretto è quello relativo ai malware per dispositivi mobili: «Il malware mobile danneggia i consumatori, le aziende, gli sviluppatori e gli inserzionisti. Gli attacchi agli utenti utilizzano varie tattiche e tecniche. Tipi comuni di mobile malware che colpiscono i consumatori sono adware, ransomware, spyware e trojan bancari e altri trojan per il furto di credenziali che si mascherano da app legittime. I criminali informatici spesso raggiungono i loro obiettivi attraverso il social engineering o gli attacchi alla catena di approvvigionamento, e a volte usano i popolari social network per diffondere le truffe e gli attacchi. La maggior parte si affida ad app store di terze parti o a download diretti per diffondere app dannose. Anche gli sviluppatori e gli inserzionisti sono danneggiati da questi attacchi, soprattutto attraverso la pirateria, furto di proprietà intellettuale e perdita di entrate pubblicitarie».


Perché Apple non vuole supportare il sideloading

In sostanza, secondo il report, se Apple fosse costretta a supportare il sideloading, più app dannose «raggiungerebbero gli utenti» perché sarebbe «più facile per i criminali informatici prenderli di mira». La grande quantità di malware e le conseguenti minacce alla sicurezza e alla privacy sugli app store di terze parti «dimostra – secondo il report - che essi non hanno sufficienti procedure di verifica per controllare le app che contengono malware, app che violano la privacy degli utenti, app copiate, app con contenuti illegali o contenuti discutibili, e app non sicure rivolte ai bambini».

E poi ancora: «Gli utenti sarebbero responsabili di determinare se le app caricate di nascosto sono sicure, un compito molto difficile anche per gli esperti. Nei «rari casi» in cui un’app fraudolenta o dannosa entra nell’App Store, «Apple può rimuoverla una volta scoperta e bloccare qualsiasi sua futura variante, fermando così la sua diffusione ad altri utenti». Se il sideloading da app store di terze parti fosse supportato, «le app dannose semplicemente migrerebbero verso store di terze parti e continuerebbero a infettare i dispositivi dei consumatori».

I rischi per la sicurezza

Ma non è tutto. Col sideloading, secondo lo studio, «gli utenti avrebbero meno informazioni sulle app in anticipo e meno controllo sulle app dopo averle scaricate sui loro dispositivi». Inoltre, le caratteristiche come la trasparenza e il tracciamento delle app, e i controlli che permettono agli utenti di verificare quali dati, hardware e servizi dell’iPhone possono essere accessibili da quelle applicazioni (come la posizione del dispositivo, il microfono e fotocamera) non sarebbero più disponibili. E questo, secondo lo studio, eroderebbe in modo enorme la sicurezza di iOS.

Inoltre, il report ritiene che «anche gli utenti che non vogliono fare il sideload e preferiscono scaricare app solo dall’App Store sarebbero danneggiati se il sideloading fosse supportato». Perché potrebbero «essere costretti a caricare di nascosto un’app di cui hanno bisogno per il lavoro o la scuola. Gli utenti potrebbero anche non avere altra scelta che il sideloading di un’app di cui hanno bisogno per connettersi con la famiglia e gli amici perché l’app non è resa disponibile su App Store». Per esempio, se il sideloading fosse permesso, «alcune aziende potrebbero scegliere di distribuire le loro app esclusivamente al di fuori dell’App Store». Una manna dal cielo per i criminali informatici, sempre più bravi a clonare store e siti.

Alcuni esempi

Il report ricorda anche che «esaminando ogni app prima che diventi disponibile su App Store per garantire che sia priva di malware e accuratamente rappresentato agli utenti, e rimuovendo rapidamente le app dall’App Store se si scopre che sono dannose e limitando la diffusione di future varianti, Apple protegge la sicurezza dell’ecosistema». E allora «il caricamento dall'esterno, sia attraverso il download diretto che attraverso app store di terze parti, minerebbe la sicurezza e la protezione della privacy di Apple». All'interno del report, visionabile interamente a questo link, vengono proposti esempi reali di come, attraverso app clonate e malevole, milioni di dispositivi mobili sono finiti in mano a cybercriminali.

E non è un caso che nel solo 2020, più di 4,2 milioni di utenti mobili – solo negli Stati Uniti - sono stati vittime di attacchi ransomware. «Questi attacchi sono diventati più comuni, alimentati dalla pandemia e dall’ascesa delle criptovalute, grazie alle quali i criminali informatici possono chiedere riscatti evitando di essere rintracciati».

Apple, insomma, non ne fa una questione di business ma di sicurezza. Il sideloading romperebbe la sfera di protezione che in questi anni App Store è riuscita a fornire ai milioni di utenti iOS. La partita è aperta.


Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti