Sicurezza, Apple sbaglia tutto?

di |
logomacitynet696wide

Un ricercatore analizza le politiche di sicurezza di Apple e accusa: «Cupertino sbaglia tutto sia per il Mac Os come per iPhone». Ma qualcuno non è d’€™accordo.

Il bug scoperto in iPhone non è il frutto di un incidente o l’€™esito della naturale evoluzione di un sistema ancora agli albori, ma il figlio di un approccio sbagliato, di un endemica disattenzione alle problematiche inerenti la sicurezza che fa parte del Dna di Apple. A pronunciare questo durissimo giudizio è stato Charles Miller, un ricercatore esperto in sicurezza durate un intervento tenuto alla fine della passata settimana alla Black Hat Conference di Las Vegas.

Miller, che è alla guida del gruppo che ha scoperto il bug che permetteva di attaccare iPhone inviando una stringa di codice via Web, ha illustrato una serie di condotte errate che secondo il suo giudizio rendono non solo iPhone ma l’€™intero sistema operativo di Apple permeabile all’€™assalto di pirati informatici. Il principale problema è determinato dal fatto che Cupertino usa codice open source vecchio e nel quale sono presenti ‘€œbuchi’€ riconosciuti e già  chiusi in versioni successive. ‘€œVolete una formula per colpire Mac Os? – ha detto Miller – Semplice. Cercate una porzione di vecchio codice in Mac Os X e ne troverete parecchio. A quel punto verificate se non aveva un bug. Se ce l’€™aveva potete essere certi che il buco è ancora lì. Non avete bisogno di fare niente di complicato’€ Il gruppo che ha scoperto il bug in iPhone avrebbe usato proprio questa tecnica, scovando una vulnerabilità  a livello ‘€œroot’€ di Samba e usandola per attaccare iPhone.

In una intervista rilasciata a Forbes , Miller diventa anche più specifico mettendo sotto accusa la facilità  d’€™uso del sistema operativo di Apple. ‘€œQuello che è facile per l’€™utente è facile anche per i pirata’€ dice Miller che porta ad esempio il modo con cui Safari si comporta quando trova un codice su Internet. ‘€œInternet Explorer spesso non sa come trattare un formato strano, Safari è invece in grado di lanciare almeno 30 differenti applicazioni. Basta che una di queste abbia un bug e il problema coinvolge anche il browser. Ci sono poi ragioni più tecniche. Un Pc randomizza le locazioni di memoria, nel Mac tutto è sempre allo stesso posto in ogni occasione e questo rende la vita facile ad un pirata informatico’€. Per quanto riguarda iPhone invece il problema sarebbe nel fatto che il telefono fa girare tutto come ‘€œroot’€, non ci sono privilegi per differenti utenti. ‘€œAvrebbero dovuto costruire un livello di sicurezza. Se c’€™è una crepa da qualche parte, qualunque utente è in grado di avere tutto il telefono a sua disposizione’€

Secondo Miller Apple si comporta in questo modo perché fino ad oggi non ha avuto molto a preoccuparsi per quanto riguarda gli hackers. Ma le cose cambieranno perché iPhone che ha una grande popolarità  corre il rischio di esporre Cupertino molto di più di quanto non si stata esposta oggi. ‘€œSono almeno due anni indietro rispetto a Windows’€, ha detto Miller nel corso dell’€™incontro di Las Vegas.

Ma altri esperti di sicurezza, come ad esempio Dino Dai Zovi, concordano solo parzialmente con questa presa di posizione. L’€™hacker che ha da scoperto il noto bug alla CanSecWest Conference, ad esempio sottolinea come Apple sia molto solerte nel chiudere i buchi di sicurezza, molto più solerte di Microsoft. ‘€œIl bug della MacHack è stato chiuso in sette giorni – ha detto Dai Zovi a Sicurezza, Apple sbaglia tutto?, è stato modificato il: 06 08, 2007 Fabrizio Frattini