Si accende la polemica sul presunto bug di sicurezza che affliggerebbe iPhone segnalato dall’italiano Piergiorgio Zambrini, alias “Zibri” in una intervista rilasciata a Fortune. A suscitare un dibattito, che ha i presupposti per divenire acceso e scatenare accuse e controaccuse, sono alcune dichiarazioni rilasciate a Macnn da Si Brindley, un programmatore britannico che sostiene di essere stato lui il primo a notare il problema nel codice di iPhone e di averne parlato via Irc con lo stesso Zibri fin dallo scorso febbraio.
, dunque, Zambrini non avrebbe scoperto proprio nulla. Si sarebbe limitato a dare evidenza al lavoro compiuto da altri “impossessandosi – dice a Macnn – di quanto scoperto da me per generare traffico sul suo blog”. Brindley, sostiene, insomma più o meno esplicitamente che il suo (ex?) amico avrebbe semplicemente cercato un pretesto usando il lavoro di altri per rilanciare il business generato dalle visite sul proprio blog che nei momenti d’oro, ammette lo stesso autore di Ziphone, gli aveva portato significative quantità di denaro, un flusso oggi è in calo visto il poco interesse per lo sblocco di iPhone. Accuse simili a quelle che trapelano dalle parole di Brindley erano state rivolte a Zibri dal iPhone Dev Team, l’associazione di programmatori indipendenti che lavora costantemente sugli hack ad iPhone secondo i quali Zambrini, ai tempi, per costruire Ziphone aveva usato informazioni apprese da altri programmatori nel contesto di un lavoro di gruppo salvo poi separarsi da esso al momento opportuno per trarre profitti personali.
Zambrini, allora, aveva negato recisamente i fatti così come erano stati raccontati dall’iPhone Dev Team,ma per il presunto bug di sicurezza di iPhone intervistato sempre da Macnn, non sembra negare di non essere stato lui a scoprire il bug, anche se sostiene di non ricordare quando ha appreso la prima volta del problema che era noto ad un certo numero di persone, né se sia stato Brindley a parlargliene per primo. Zibri si chiede come mai, a fronte della scoperta, il suo collega britannico non abbia dato pubblicità ad essa.
In realtà Brindley, che usa il nick “Izzard” sembra che effettivamente fosse a conoscenza del problema nella data indicata a Macnn e ne ha apparentemente parlato sia sul suo sito che in conversazioni su forum Internet, come dimostra un messaggio postato sul blog Open Source GSM. La data del messaggio, in effetti, è il 20 febbraio. Sarebbe stato sempre egli stesso ad andare a fondo il problema, lavorando su un filmato per scoprire dove il bug risiedeva e dare ad esso la sua esatta identità . “Nel momento in cui ho parlato della cosa con alcuni esperti – dice Brindley – mi è stato detto che non si trattava di un problema di sicurezza, ma di una semplice curiosità “. Il bug insomma manderebbe in crash il sistema operativo e costringerebbe iPhone (ma anche qualunque hardware della piattaforma Apple che fa uso della porzione audio di QuickTime) al riavvio, ma non rappresenterebbe un rischio per la sicurezza e la scoperta non avrebbe lo stesso valore (anche economico) di quella conseguente ad un vero e proprio bug che porta ad esporre dati personali o offre ad un hacker la possibilità di prendere il controllo del dispositivo.
La querelle tra Izzard e Zambrini prende forma nel momento in cui sul sito di Zibri è stato infine messo a disposizione un video che è in grado di mandare in crash iPhone e di costringere al riavvio. La pubblicazione del bug avviene, si apprende sempre da Macnn, dopo alcuni tentativi da parte dell’autore di Ziphone di contattare Apple offrendosi di dare, a pagamento, dettagli sullo stesso bug: “in questo modo Apple è libera di lavorare su di esso”, avrebbe detto Zambrini a Macnn. Zibri, per altro, nella sua intervista ad Fortune rivelava di essersi anche offerto per un impiego nel settore sicurezza di Apple, ma di non avere mai ricevuto alcuna risposta.
La vendita di scoperte di bug di sicurezza non è un fatto raro né una pratica inusuale; diverse aziende nel mondo acquistano il frutto della ricerca in questo settore e, un volta verificati i termini dello stesso, sono disposte a pagare anche decine di migliaia di dollari, a seconda della serietà degli stessi. A loro volta le società di sicurezza lavorano con clienti che le pagano profumatamente per sapere come evitare rischi e con i creatori del software che grazie a queste informazioni migliorano la sicurezza del loro codice. Non risulta, invece, che Apple abbia mai pagato nessuno degli scopritori dei tanti bug di sicurezza venuti alla luce nel suo sistema operativo e poi riparati dai vari upate del sistema operativo.
Da altre fonti si apprende che Apple, dove avere respinto l’offerta di Zibri, avrebbe iniziato ad indagare il bug. Lo stesso Brindley sarebbe stato contattato da Cupertino per avere informazioni sui termini del problema. Sembra però che il team di sicurezza della Mela avrebbe rifiutato di classificare il bug come un vero e proprio rischio che mette in pericolo i dati o le funzionalità del telefono, collocandolo nel contesto dei semplici buchi di programmazione e di avere assegnato ad esso la priorità che attiene a questa categoria di difetti, fastidiosi ma non pericolosi.
