Gli annunci della WWDC di Apple questa settimana hanno avuto una forte attenzione alla sicurezza e alla privacy. Il gigante tecnologico statunitense ha avuto un paio di mesi difficili, con molteplici problemi e vulnerabilità segnalate, e ora sembra voler superare tutto questo, per riaffermare le sue credenziali di sicurezza e privacy, distinguendosi dalla concorrenza.
Ma Apple non sempre ci riesce, come perfettamente illustrato da un problema di sicurezza che inizialmente ha negato, ma che ora ha improvvisamente confermato rilasciando un fix. Quella correzione non è ancora disponibile, però, lasciando gli utenti a rischio. Arriverà con iOS 14, previsto per l’autunno.
In febbraio, ho riferito di un problema con la funzione Appunti di Apple. Come rivelato dai ricercatori di sicurezza Talal Haj Bakry e Tommy Mysk, qualsiasi dato copiato negli appunti su un dispositivo iOS potrebbe essere letto da qualsiasi app attiva. Non c’è nessuna notifica, nessuna impostazione per limitare la capacità di un’app di accedere alle informazioni dell’utente; la vulnerabilità è nascosta – gli utenti non hanno modo di dire quando un’app potrebbe rubare i loro dati.
Più da FORBESemplice Hack di sicurezza Apple: se hai un iPhone e MacBook, guarda via ora da Zak Doffman
Peggio, i ricercatori mi hanno detto, “la Universal Clipboard può anche essere interessata da questa vulnerabilità per origliare ciò che gli utenti copiano”. Ciò significa che se copiate qualcosa sul vostro Mac, può essere letto da un’app sul vostro iPhone. E dato che tendiamo ad usare il copia e incolla più su un desktop o laptop che su un telefono, questo rende il problema molto più serio nel mondo reale.
“Abbiamo ricevuto molte richieste su questo punto”, mi hanno detto i ricercatori, “che abbiamo aggiunto un video che illustra come un’app per iPhone o iPad può origliare la clipboard su Mac.”
Il problema è stato segnalato ad Apple già a gennaio. “Dopo aver analizzato la segnalazione”, hanno spiegato i ricercatori, “Apple ci ha informato che non vedono un problema con questa vulnerabilità”. In sostanza, l’opinione di Apple sembrava essere che questa fosse la sua funzione di appunti che funzionava come previsto. Non c’era nessun problema da risolvere, niente da vedere qui.
ALTRO DA FORBESAttenzione se usi TikTok sul tuo iPhone: Ecco perché ora dovresti preoccuparti-Nuovo rapporto sulla sicurezzaDi Zak Doffman
I ricercatori hanno anche rilasciato un follow-up, mostrando il modo in cui app come TikTok, che ha sollevato un sacco di problemi di sicurezza, “leggono il contenuto della clipboard ogni volta che viene aperta”. E anche se i ricercatori hanno riconosciuto che “non possiamo dire con certezza cosa sta facendo TikTok con i dati che ha letto”, questo era chiaramente una preoccupazione. Da parte sua, TikTok mi ha detto che si trattava di un problema con un SDK di Google Ads ed è stato risolto. Detto questo, Apple non avrebbe dovuto lasciare che accadesse in primo luogo.
I ricercatori sono stati molto chiari dalla loro divulgazione iniziale in poi. Apple dovrebbe includere un’impostazione della privacy, app per app, che abiliti o disabiliti l’accesso agli appunti. E, come minimo, dovrebbe far lampeggiare una notifica sullo schermo quando un’app accede agli appunti, “per evitare che le app sfruttino gli appunti”, hanno detto i ricercatori a febbraio, “Apple deve agire.”
Ebbene, pur negando che questo sia un problema, è abbastanza grave per una correzione specifica in iOS 14. “Anche se Apple ci ha informato che non era un problema quando lo abbiamo segnalato all’inizio di quest’anno”, Mysk mi ha detto, “Penso che Apple abbia ascoltato le richieste e riconsiderato i loro pensieri iniziali sul problema – lo hanno risolto esattamente come abbiamo raccomandato nel nostro articolo”. Mysk ha anche notato che la notifica “è diversa dai normali banner di iOS – questo dimostra che Apple ha specificamente progettato questo per l’accesso agli appunti.”
Questa è una buona mossa – è un vero problema e deve essere risolto. Sarebbe stato meglio, però, se Apple avesse detto altrettanto a febbraio e marzo, quando la questione è stata sollevata per la prima volta, invece di sembrare di liquidare la preoccupazione. Ho contattato Apple allora per eventuali commenti, ma non ne ho ricevuto nessuno, e ho fatto lo stesso questa volta, con la correzione prevista tra qualche mese.
“Sono molto felice che la nostra ricerca abbia portato ad un cambiamento così grande che sicuramente proteggerà ulteriormente la privacy degli utenti”, mi ha detto Mysk, “Vorrei ricordare che abbiamo contattato Apple per un commento dopo aver scoperto la correzione. La risposta di Apple è stata molto rapida e positiva e hanno richiesto le nostre informazioni di attribuzione.”
Seguimi su Twitter o LinkedIn.