Falla iOS, ricercatore la espone e viene bandito da Apple

Un ricercatore di sicurezza scova una falla in iOS, la rende nota e viene cacciato da Apple dal programma sviluppatori. Di mezzo c'è Charlie Miller, esperto di Accuvant e più volte in grado di mettere a nudo le vulnerabilità di iOS e OS X in manifestazioni come il Pwn2Own.

La falla individuata consente ad applicazioni di terze parti di aggiungere nuove funzioni non approvate e verificate da Apple ad applicazioni già presenti sull'App Store. Queste app consentono di scaricare codice non firmato usando un'eccezione inserita da Apple nel browser Safari di iOS 4.3, e che dà al codice JavaScript accesso speciale alla memoria del dispositivo in modo che la navigazione sia più rapida.

Il rischio è quindi quello di scaricare un'applicazione da App Store che in prima istanza si presenta funzionante e sicura, ma che poi può mutare improvvisamente accedendo alle vostre informazioni personali, dai contatti alle foto, fino ad attivare caratteristiche hardware come la vibrazione e gli speaker. Il tutto senza dimenticare il fatto che può far partire del malware.

Per dimostrare l'esistenza di questa vulnerabilità Miller ha creato un'applicazione chiamata Instastock, approvata da Apple e presente sull'App Store (ora non è più presente). Dopo il primo avvio, l'applicazione si è collegata al server privato di Miller scaricando codice aggiuntivo non firmato. Potete vedere un filmato dimostrativo qui sotto in cui si mostra l'applicazione funzionare normalmente e poi di colpo, per via del codice iniettato, far partire un video (mitico RickRoll!) non previsto tra le funzioni originali.

Miller ha avvisato Apple della falla tre settimane fa, e al momento non è chiaro se tale problema sarà risolto con iOS 5.0.1. L'update è in fase Beta 2 e in principio è stato pensato per risolvere un problema di consumi anomali su alcuni dispositivi iOS. Nelle note di rilascio però si parla anche di alcuni fix di sicurezza di cui non si conosce la natura precisa.

Perciò mentre per ora c'è un problema di sicurezza per tutti gli utenti iOS (ma non ci sono casi noti d'uso di questa falla all'infuori del test), per Miller si è prefigurata la cacciata dal programma sviluppatori di Apple. Quanto compiuto va, infatti, contro le linee guida dell'App Store. A confermarlo è stato lui stesso su Twitter.

In altri tweet Miller ha mostrato tutto il proprio sconforto. "Per la cronaca, senza una vera applicazione nell'App Store, le persone avrebbero detto che Apple non avrebbe approvato un'app che sfrutta questa falla", ha dichiarato spiegando il perché ha voluto mettere in pratica quanto scoperto. "Prima danno ai ricercatori l'accesso al programma sviluppatori (anche se ho pagato per il mio), poi li sbattono fuori per aver fatto ricerche. Sono arrabbiato".

"Non credo che l'abbiano mai fatto a un altro ricercatore. Inoltre, nessun ricercatore ha mai esaminato la sicurezza del loro App Store. E dopo quanto successo immagino che nessun altro lo farà in futuro", ha dichiarato Miller in un'e-mail a Cnet.

Da una parte Miller ha ragione. Se si offre l'accesso ai ricercatori (e Apple sa bene chi è Miller), non ci si può aspettare che non facciano il loro lavoro. Inoltre, ha ragione anche sul punto in cui dice che l'hack doveva essere dimostrato per farne capire l'importanza. Dall'altra però c'è il tema delle norme violate.

Qui perciò si crea un problema: o si cambiano le norme, o si dice ai ricercatori che non c'è posto per loro. La reazione rude, specie contro un ricercatore che ha un'eco mediatica spaventosa, è un altro problema, ma diamo ad Apple il beneficio del dubbio - forse è semplicemente partita una procedura automatica. In ogni caso si poteva gestire in modo diverso.

iOS 5

Immagini  -  <12345678>

 

 

Alla base però c'è un problema più specifico, che riguarda il rapporto tra le aziende e il mondo dei ricercatori. Miller ha notificato la falla ad Apple tre settimane fa, un tempo sufficiente per consentire agli esperti dell'azienda di sentirsi con Miller ed evitare che il ricercatore agisse in questo modo. 

D'altronde Miller poteva, come ha fatto tante altre volte, parlare della vulnerabilità in modo vago e assicurare che l'avrebbe resa nota solo dopo la patch di Apple. Miller però non ha pubblicato del codice, ma ha fatto una dimostrazione pubblica, andando più in là di una semplice dichiarazione e soprattutto oltrepassando le linee guida, uguali per chiunque. Insomma, tutto poteva risolversi con maggiore comunicazione tra le parti.

Adesso la palla passa nelle mani di Apple, che potrà decidere se revocare l'esclusione e ricucire il rapporto con Miller, oppure mantenersi ferma nelle sue decisioni rischiando, come spesso le succede, di mantenere un rapporto chiuso e oltranzista con tutto ciò che non riesce a controllare. Vedremo come gestirà la faccenda Tim Cook.