Sicurezza

Backdoor iOS, Apple conferma con scuse debolucce

Apple ha ufficialmente negato di aver creato backdoor in iOS a uso e consumo delle autorità statunitensi. Quelle scoperte da Jonathan Zdziarski sarebbero semplici strumenti dedicati al personale IT delle aziende e alla risoluzione di problemi tecnici.

"Un utente deve sbloccare il dispositivo e autorizzare un computer affinché esso possa accedere a questi limitati dati diagnostici", si legge nella nota inviata dai PR di Apple. "L'utente deve consentire che tali informazioni siano condivise. Come abbiamo detto in passato, Apple non ha mai lavorato con alcuna agenzia governativa di alcun paese per creare backdoor in nessuno dei nostri prodotti o servizi".

Zdziarski ha risposto a stretto giro di posta, rilevando l'ammissione di Apple: "hanno davvero delle backdoor, anche se affermano che servono per la diagnostica e gli specialisti IT". Lo specialista ricorda poi che i servizi in questione estraggono dati e aggirano la protezione crittografica, anche se l'utente ha disabilitato l'invio ad Apple di dati diagnostici.

"Se questi servizi fossero nati per tali scopi, sarebbe normale pensare che funzionino solo se il dispositivo è gestito/supervisionato o se l''utente ha abilitato la modalità diagnostica. Sfortunatamente non è il caso, e non c'è modo di disabilitare il meccanismo. Il risultato è che queste funzioni sono abilitate su ogni dispositivo e non si possono disattivare, né all'utente si richiede il consenso per spedire all'esterno questi dati personali", continua Zdziarski.

"Ciò rende molto più difficile credere che Apple stia dicendo la verità", aggiunge il ricercatore. Zdziarski ricorda poi che, anche ammettendo la buona fede di Apple, ci sono sempre le operazioni della NSA, o il fatto che impossessandosi di un computer – o sequestrandolo – si ottiene accesso ai dati di backup anche se crittografati. "I registri di pairing si possono rubare in tanti modi diversi […]. Solo di recente Apple ha aggiunto una finestra di dialogo per autorizzare un computer; prima di questo l'abbinamento sarebbe stato automatico".

Zdziarski conclude poi affermando che "capisco che ogni OS ha funzioni diagnostiche, ma questi servizi infrangono la promessa fatta da Apple al consumatore che decide di usare una password. […]. Semplicemente non c'è modo di giustificare l'enorme fuoriuscita di dati generata da questi servizi, per di più senza alcun consenso esplicito da parte dell'utente".

La conclusione non può che essere un terribile j'accuse: "non credo per niente che questi servizi abbiano solo scopi diagnostici. I dati estratti sono troppo personali. L'utente non è informato. Un vero strumento diagnostico sarebbe stato sviluppato nel rispetto dell'utente, lo avrebbe avvisato come fanno le applicazioni e avrebbe rispettato la crittografia del backup. Che senso ha promettere la crittografia se poi c'è una password che la aggira?".

Non serve leggere tra le righe per capire che Zdziarski conferma la propria ipotesi iniziale: per lui queste backdoor sono strumenti usati per lo spionaggio governativo. Il danno collaterale è che anche qualcun altro potrebbe trovare il modo di usarle. Fidarsi della risposta ufficiale di Apple è possibile?