martedì, Dicembre 24, 2024

Apple e la sicurezza dell’iPhone: le sfide del DMA in Europa

Apple DICE CHE L’iPhone IN EUROPA CON IL DMA SARÀ MENO SICURO, E PROBABILMENTE HA RAGIONE

Le scorse settimane Apple ha annunciato i cambiamenti che verrano apportati all’AppStore su iOS per soddisfare gli obblighi imposti dalla normativa europea sul libero mercato dei beni digitali, il DMA. Le novità più grandi sono senza alcun dubbio la possibilità per gli utenti iOS di installare store di applicazioni alternativi sul loro iPhone, e quella di pagare anche con metodi differenti dalla soluzione Apple usata fino ad oggi.

Apple NON HA ACCETTATO DI BUON GRADO QUANTO CHIESTO DALL’EUROPA, perché ritiene che modifiche così profonde ad un sistema operativo che è stato progettato e sviluppato mettendo la Sicurezza e la privacy in primo piano rischiano di indebolirlo e renderlo più vulnerabile. È davvero così?

Dimentichiamoci per un attimo della Core Technology Fee, di quei 0.50 euro ad installazione (il primo milione è gratis) che Apple chiede agli sviluppatori che vogliono pubblicare applicazioni su store alternativi. La Core Technology Fee è infatti UNA PURE QUESTIONE ECONOMICA, e se c’è chi è d’accordo con Daniel Ek di Spotify che la ritiene estorsione pura c’è anche chi pensa che, in fin dei conti, gli sviluppatori che devono la loro fama e il loro successo all’AppStore in qualche modo debbano contribuire allo sviluppo della piattaforma che li ha resi tali.

Concentriamoci invece su privacy, sicurezza, su quello che è oggi il rapporto tra le persone e lo Smartphone e su come potrebbe cambiare questo rapporto con le richieste del DMA.

MALWARE, SMARTPHONE E SICUREZZA: COSA DICONO I NUMERI

Secondo Google, lo dice il report sulla trasparenza pubblicato lo scorso anno, lo 0.16% dei dispositivi Android presenti sul mercato ha almeno una applicazione pericolosa installata, dove con pericolosa si intende una applicazione contenente un malware o in grado di sottrarre dati. Queste applicazioni sono state scaricate dal Play Store, e sono quindi sfuggite al controllo automatizzato che viene fatto dall’azienda di Mountain View. Per quanto la percentuale possa sembrare molto bassa, 0.16%, è bene ricordarsi che nel mondo ci sono circa 4 miliardi di dispositivi Android e questo vuol dire che oggi ci sono diversi milioni di smartphone con applicazioni pericolose tutt’ora installate tramite Play Store nelle mani delle persone.

Il numero diventa sensibilmente più alto se si prende in considerazione quel sottobosco di applicazioni che vengono scaricate da siti web o da altri canali (non sempre leciti) direttamente sui telefoni, disinteressandosi dei rischi.

Nei giorni scorsi abbiamo pubblicato i risultati di una ricerca fatta su una campione di 2500 studenti dove si evince che 3 ragazzi su 10 hanno installato di proposito sul telefono, e senza preoccuparsi delle conseguenze, applicazioni craccate per non pagare abbonamenti. Il caso tipico è la versione modificata di Spotify usata per non pagare il piano premium, o il client di Youtube che toglie la pubblicità.

Le applicazioni modificate di Spotify e di YouTube sono state negli ultimi tre anni UNA DELLE MINACCE PIÙ GRANDI ALLA SICUREZZA DI ANDROID: gli utenti più esperti consapevoli dei pericoli non hanno corso rischi perché sapevano dove scaricare l’App sicura (ma illegale), ma tutti gli altri, che hanno solo sentito dell’esistenza di queste app e hanno provato a fare da soli, SONO CADUTI IN SVARIATE TRAPPOLE.

L’impossibilità di installare applicazioni da sorgenti non autorizzate ha protetto per tutto questo tempo l’iPhone e i suoi utenti da minacce di questo tipo, ma questi non sono stati i soli rischia dai quali gli utenti, senza far nulla, sono stati protetti.

I numeri rilasciati da Apple sulle minacce sventate sono infatti impressionanti: 428.000 account di sviluppatori bloccati perché venivano usati per attività fraudolente, 1.7 milioni di applicazioni rigettate, e tra queste app che emulavano altre app e app che raccoglievano dati e li inviavano a server esterni e per finire 3.9 milioni di transazioni bloccate perché fatte da carte di credito rubate o clonate. In totale Apple ha bloccato transazioni fraudolente per un valore pari a 2 miliardi di euro, chiudendo anche 700.000 account collegati.

Qualcosa è scappato ai controlli, come nel caso di Google, ma il gran lavoro fatto in questi anni da Apple dimostra che la gestione di uno store di applicazioni NON È AFFATTO SEMPLICE MA SOPRATTUTTO È QUALCOSA CHE RICHIEDE INVESTIMENTI SIA TECNOLOGICI CHE ECONOMICI. Quella contro i malware è una lotta che non si può sperare di vincere, ma solo di contrastare nel migliore dei modi cercando di tappare ogni falla non appena la si trova.

Questo spiega la decisione di Apple di non offrire, nell’ambito del DMA, UN SIDELOAD DIRETTO DI APPLICAZIONI SINGOLE ma di far passare ogni sviluppatore da un negozio comunque “gestito” da qualcuno che avrà anche compiti di controllo sulle app che verranno vendute o distribuite. Chi gestirà il negozio dovrà prima di tutto tutelare gli utenti ma anche rispondere anche di eventuali illeciti o problemi legati alla violazione della proprietà intellettuale alle autorità competenti. Sarà un compito tutt’altro che semplice, per impegno e costi.

La necessità di appoggiarsi sempre ad un negozio è una delle tante soluzioni adottate da Apple per provare a proteggere al meglio gli utenti in Europa nonostante le aperture chieste dal DMA, ma non è l’unica.

“IL DMA RICHIEDE MODIFICHE A QUESTO SISTEMA CHE COMPORTANO MAGGIORI RISCHI PER GLI UTENTI E GLI SVILUPPATORI. QUESTO INCLUDE NUOVE VIE PER MALWARE, FRODI E TRUFFE, CONTENUTI ILLECITI E DANNEGGI, E ALTRE MINACCE ALLA PRIVACY E ALLA SICUREZZA. QUESTE MODIFICHE COMPROMETTONO ANCHE LA CAPACITÀ DI APPLE DI RILEVARE, PREVENIRE E AGIRE CONTRO LE APP DANNOSE SU IOS E DI SUPPORTARE GLI UTENTI COLPITI DA PROBLEMI CON LE APP SCARICATE AL DI FUORI DELL’APP STORE. ECCO PERCHÉ APPLE STA INTRODUCENDO PROTEZIONI, TRA CUI LA NOTARIZATION, PER RIDURRE I RISCHI E OFFRIRE L’ESPERIENZA MIGLIORE E PIÙ SICURA POSSIBILE AGLI UTENTI NELL’UE. ANCHE CON QUESTE SALVAGUARDIE IN ATTO, RIMANGONO MOLTI RISCHI” ci dice Gary Davis, European Data Protection Officer di Apple, offrendoci qualche dettaglio in più sul processo di “notarization”.

COSA PUÒ BLOCCARE APPLE. E COSA NO

Ogni sviluppatore, che voglia pubblicare su AppStore o su store di terze parti per rendere la sua applicazione eseguibile su un iPhone, deve ricevere una chiave di installazione e questa chiave viene fornita da Apple che svolge la funzione di “notaio”. Apple “certifica” l’app. Questo processo, che prende appunto il nome di Notarization, prevede una analisi automatica del codice dell’app alla ricerca di malware e di eseguibili che possano compromettere la sicurezza del dispositivo.

Apple ci tiene a precisare una cosa, che per molti NON È STATA SUBITO CHIARA: questo processo è decisamente più superficiale di quello che viene fatto per le applicazioni che finiscono sull’AppStore. Non è nulla di diverso da quello che viene fatto su tanti smartphone Android quando si installano app da sorgenti sconosciute: Honor, Vivo, Huawei e OPPO integrano ad esempio una soluzione antimalware di Avast che in fase di installazione verifica l’assenza di codice malevolo. Apple lo fa prima che l’app possa essere installata, perché è più semplice mantenere aggiornato il database delle vulnerabilità di un grosso server di controllo piuttosto che milioni di telefoni. Fa però qualcosa in più: oltre ad una scansione per le vulnerabilità più note effettua anche un controllo umano superficiale per controllare che non ci siano app che emulano il comportamento di altre app, oppure cloni di app esistenti creati senza autorizzazione.

Quando Apple ha annunciato le modifiche all’AppStore, molti hanno visto in questo “controllo” da parte di Apple una probabile violazione del DMA, ma in realtà Apple si preoccuperà solo di verificare che le app non possano violare il dispositivo. Non ci sarà alcun controllo su applicazioni che promuovono la pirateria dei contenuti, giochi d’azzardo, pornografia, violenza e ogni tipo di contenuto che oggi non viene ammesso sull’AppStore di Apple. Starà ai gestori dei negozi terzi creare le regole per i contenuti presenti sui loro store, cercare di farle rispettare e soprattutto gestire le eventuali richieste dei detentori dei diritti o delle autorità competenti.

La domanda viene spontanea: se Apple effettua il controllo sui malware, e quindi non sussiste il rischio che vengano installate app dannose, perché l’iPhone in Europa sarà meno sicuro? Ma soprattutto perché la questione sicurezza non viene sollevata anche per i Mac, che da anni lasciano installare le app da ogni tipo di sito senza passare da uno store specifico?

Spesso su un sito di Tecnologia si tendono a guardare le questioni tecnologiche da un punto di vista competente, ma ci si dimentica che i competenti sono solo una piccola porzione dell’intera platea di utilizzatori. Un Mac permette effettivamente di installare applicazioni non presenti sull’AppStore, tuttavia, anche sul Mac, ESISTE LA FIRMA DELLE APP: anche se sono scaricate da un sito web e non dal negozio ufficiale solo le app firmate possono essere installate senza far scattare i sistemi di sicurezza. Per le applicazioni considerate poco sicure, o non firmate, l’utente deve andare nel pannello di controllo, scorrere la finestra “sicurezza e privacy” fino alla fine e cliccare su “apri comunque”. Pochi arrivano fino a qui, la maggior parte degli utenti si ferma prima: se gli esce il messaggio rinunciano all’installazione. Questi pochi sono a loro volta una piccola parte di tutti gli utenti Mac che sono a loro volta una parte degli utenti PC in Italia e in Europa. Il computer non solo non è in tutte le case, ma non contiene neppure tutti i dati che uno smartphone oggi contiene e gestisce.

Oggi uno smartphone lo hanno tutti in tasca, dal ragazzino di 10 anni alla bisnonna di 90 anni, e permette l’accesso tramite Spid, a banche, a documenti digitali, a fotografie e a tante altre informazioni che possono risultare utili ad un malintenzionato per confezionare una truffa, da finalizzare poi con altri mezzi, ad esempio phishing.

UNA QUESTIONE DI FIDUCIA

Chi usa un iPhone ha scelto anche di acquistare un iPhone per la promessa di un dispositivo che mette in primo piano l’utente e i suoi dati. Si è abituato a questo nel corso del tempo, e proprio per il rapporto di fiducia che si è creato tra utilizzatore e dispositivo tende ormai a dare molte cose per scontate. Una sorta di “ci pensa Apple, non mi devo preoccupare”. Un genitore che ha dato un iPhone al figlio o alla figlia non si è mai preoccupato di dover dire “attento alle app che scarichi”, perché non si è mai trovato di fronte ad applicazioni che incitano alla violenza, che mostrano Immagini pornografiche o che distribuiscono fake news: le app che si trovano sull’AppStore sono controllate e sicure, soprattutto nei contenuti. Almeno inizialmente, gli utenti che non hanno idea di quali siano i cambiamenti imposti dal DMA e anche i rischi correlati, tenderanno ad usare lo stesso identico principio, quello della fiducia, per tutte le altre app e per tutti gli altri store.

Qui Apple ha implementato un ulteriore soluzione per gestire questo problema a posteriori: se una persona scarica una applicazione da un marketplace, e si accorge solo dopo un po’ di tempo che quell’applicazione gli ha sottratto qualche euro con acquisti ricorrenti, o si è rivelata essere una mezza truffa, potrà scegliere non solo di rimuovere quell’app, ma anche di togliere la fiducia all’intero marketplace e alle sue app. Apple, per casi gravi, si riserva comunque di bloccare l’esecuzione di una singola applicazione revocando la chiave di installazione: una applicazione potrebbe passare il controllo automatico perché priva di malware, ma potrebbe scaricare successivamente dalla rete un pacchetto contenente codice che va a sfruttare vulnerabilità note o meno.

Abbiamo descritto ovviamente lo scenario peggiore, ma una cosa è certa: da anni si prova in ogni modo a penetrare la sicurezza degli smartphone, puntando proprio sul fatto che la maggior parte delle persone non si preoccupa troppo di quello che sta facendo o di cosa sta cliccando, e questa occasione data dal DMA per i malintenzionati è davvero ghiotta. La teoria del “su Android ci sono gli store alternativi e non è mai successo nulla” viene smentita dai numeri stessi di Google, che ammette le infezioni tramite malware provenienti dalle app scaricate dal suo store, comunque controllato.

L’IPHONE SARÀ UGUALMENTE SICURO, MA NON COSÌ SICURO COME LA VERSIONE “CHIUSA”

Gli interventi fatti da Apple, come la Notarization, possono ridurre i rischi ma non eliminarli del tutto: se si apre un sistema che è stato progettato per essere un sistema chiuso e sicuro questo sistema non sarà mai più sicuro allo stesso modo. L’iPhone in Europa sarà comunque sicuro, buona parte delle soluzioni attuale a livello di sistema resteranno sempre (come il permesso di accedere a fotocamera o microfoni, al rullino e ad altri elementi), tuttavia sarà più esposto. Questo sotto svariati profili, inclusa la sicurezza dei minori venendo a mancare ogni tipo di filtro sui contenuti, o meglio, il filtro nel caso di store alternativi viene delegato a questi negozi.

Questo non vale ovviamente per tutti e crediamo che l’apertura ad altri store possa rappresentare per Apple anche una grande opportunità. Apple non è ovviamente l’unica a saper gestire uno store sicuro ed efficiente: esistono aziende che hanno dimostrato in questi anni di poterlo fare, e anche bene. Una versione di Steam per iPhone sarebbe un valore aggiunto per la piattaforma, non certo un problema. Come crediamo che possa essere un valore aggiunto un Epic Game Store: sarebbe insieme a Steam un catalizzatore potentissimo per portare sempre più publisher ad usare Metal sviluppando così giochi per iPhone. Apple guadagnerebbe sicuramente di meno di quanto guadagnerebbe con quei giochi sul suo negozio, ma compenserebbe con le vendite di iPhone.

ARTICOLI COLLEGATI:

ULTIMI ARTICOLI: