Apple chiude falla dopo tre anni, nel frattempo tutti spiati
Apple ci ha messo tre anni a correggere una falla in iTunes per Windows. Nel frattempo l’inglese Gamma International ha messo a punto FinFisher – un trojan ad hoc – e vi si è arricchita vendendolo anche a diversi governi totalitari, tra i quali quello egiziano recentemente caduto.
Apple conosceva la falla in questione dal 2008, quando gliela comunicò il ricercatore argentino Francisco Amato. Nessuno al momento riesce a spiegarsi perché l’azienda – che pure non è mai stata velocissima in queste cose – ci abbia messo così tanto tempo, come spiega Brian Krebs sul blog krebsonsecurity.
FinFisher, pagina di presentazione
La falla in questione non era presente solo in iTunes, che condivideva con altri programmi una vulnerabilità relativa alle firme digitali degli aggiornamenti. Ecco come la descriveva lo stesso Krebs tre anni e mezzo fa (luglio 2008).
“Immaginate di essere nella in aeroporto, in attesa del vostro volo. Aprite il notebook e vedete una rete Wi-Fi disponibile. Tenete presente che ci sono molti strumenti capaci di simulare un access point, con lo scopo di dirottare il vostro traffico su un altro computer. […] Vi collegate a questa falsa rete e dopo qualche secondo un’applicazione v’informa che è disponibile un aggiornamento. Lo accettate. E siete fregati“.
Se da una parte l’esistenza di software come FinFisher (che funziona anche con altre applicazioni, non solo iTunes) e il loro uso da parte di governi e forze di polizia non è una novità , seppure fastidiosa, dall’altra è sorprendente che Apple ci abbia “messo più di 1200 giorni per risolverla” scrive Krebs.
“Forse se ne sono dimenticati, o era in fondo alle loro priorità “, ipotizza Francisco Amato. E nemmeno uno specialista come Mikko Hypponen – dirigente per la ricerca di F-Secure – riesce a fare un’ipotesi migliore. Quest’ultimo inoltre ci ricorda come in questa faccenda vada preso in considerazione anche il ruolo dei produttori di antivirus, alcuni dei quali hanno politiche ambigue quando si tratta di software di sorveglianza usati da qualche governo.
“Non c’è una vera discussione o un accordo su questo tema”, spiega Mikko Hypponen di F-Secure. “Sostanzialmente le società (che fanno l’antivirus) non hanno idea di quali trojan siano governativi oppure la solita roba. Ci devono essere molti altri trojan governativi che noi e altri rileviamo, senza sapere che sono usati per la sorveglianza da parte di un governo”, conclude.
Lo scritto di Krebs non è proprio di quelli più neutri, a guardarlo da vicino. Nello stesso testo si dice che Apple ha ritardato la correzione senza ragioni apparenti, ma anche che alcune società non s’impegnano formalmente nel fermare i trojan governativi. A essere maliziosi ci sarebbe da pensare che lo specialista stia facendo un’ipotesi a dir poco scandalosa. Ma non siamo gente che pensa male, e voi?
