Ad agosto di quest’anno, Apple ha intentato causa legale contro Corellium, azienda specializzata in software di virtualizzazione di dispositivi mobili, accusata di violazione del copyright per avere replicato il sistema operativo di iPad e iPhone per creare un sistema di test per le aziende che vogliono controllare l’uso di app e sistemi di sicurezza.
Corellium ha depositato le risposte alle accuse di Apple, spiegando che il suo software è, tra le altre cose, utile anche per la ricerca di bug in iOS, è utilizzabile dai ricercatori che si occupano di sicurezza ed è molto più accessibile rispetto agli iPhone “dev-fused” che si trovano sul mercato grigio.
Questi ultimi dispositivi non sono pubblicamente disponibili e sarebbero molto ricercati da chi si occupa di sicurezza informatica, giacché si rivelano utili per individuare vulnerabilità hardware e software. Sono iPhone senza impedimenti e protezioni varie presenti nei tradizionali dispositivi venduti al pubblico, utili per studiare varie procedure di funzionamento interne, bypassando i meccanismi di sicurezza che proteggono processi e sistema che normalmente impediscono loro l’accesso ad aree di memoria e sistema.
Corellium afferma che il suo sistema di virtualizzazione semplifica la vita dei ricercatori di sicurezza, permettendo di individuare falle, utili anche ad Apple per eliminare problematiche di sicurezza. In teoria il discorso è valido ma Corellium non dimostra che i suoi clienti stanno comunicando ad Apple eventuali vulnerabilità.
A difesa di Corellium, anche Daniel Cuthbert, capo della sicurezza informatica della banca Santander, secondo il quale l’uso di Corellium consente loro di testare le applicazioni dell’istituto finanziario su diversi modelli di iPhone e versioni di iOS”, spiegando che voler bloccare questo software è più un male che un bene per Apple.
Corellium si difende affermando che Apple conosce questa azienda da anni. Chris Wade, uno dei fondatori, è stato invitato dalla Mela a partecipare al suo programma di ricerca di bug a pagamento (aveva individuato 7 vulnerabilità che avrebbero dovuto permettergli di ottenere 300.000$ ma pare che non sia stato pagato). Pare anche che Apple avrebbe cercato di acquisire Corellium ma senza successo.
Chris Wade a marzo di quest’anno aveva dichiarato di essere riuscito a mettere le mani sui dispositivi “dev-fused”, iPhone ricercatissimi sul mercato nero per un motivo semplice: consentono di studiare il funzionamento interno di iOS e individuare falle che altrimenti non sarebbe possibile scovare. Le dichiarazioni fatte nel corso della conferenza Black Hat, incoraggiando la scoperta di vulnerabilità con un sistema poco legale, non sono piaciute ad Apple secondo la quale, Corelliu, potrebbe trarre profitti anche nell’ambito della vendita di vulnerabilità con un sistema “palesamene illegale”.
Apple non ha voluto rilasciare commenti al sito Motherboard e chiede un’ingiunzione permanente per impedire a Corellium di offrire prodotti che replicano funzionalità di iOS. La Casa di Cupertino chiede anche la distruzione di tutto il materiale che viola il suo copyright, e il pagamento per danni, profitti persi e delle spese legali.
