Lo scenario è quello da incubo del terzo millennio: l’amato iPhone, il compagno inseparabili, quello che ci segue in bagno, al letto, nei nostri momenti più intimi, e che persino quando siamo sotto alla doccia non è mai più distante di qualche passo, potrebbe essere il cavallo di Troia della nostra privacy, trasformato in un dispositivo di sofisticato e avanzato spionaggio universale, capace di trasmettere audio e video che ci mostrano a chiunque possieda il nostro numero di telefono o il nostro indirizzo email.
“E’ effettivamente uno scenario da incubo”, ha dichiarato Marcus Carey, esperto di cybersicurezza e autore di Tribe of Hackers. “Incrementa i nostri timori per la privacy, perché questo è lo stesso scenario che la maggior parte delle persone teme. Abbiamo paura di tutto ciò, anche se dovesse arrivare dal nostro governo o da altri regimi.” Un incubo che si materializza.
Il bug, che è stato reso noto lunedì scorso, ha ritrasmetto l’audio – e in determinate circostanze anche il video – a un chiamante nonostante il destinatario non abbia accettato la chiamata. E’ stato attivato quando il chiamante iniziale ha aggiunto una terza persona a una chiamata FaceTime. Sebbene in tutto ciò Apple non abbia ancora rilasciato una patch software, la società ha disattivato le chat di gruppo su FaceTIme, impedendo così agli utenti di sfruttare ulteriormente il bug che in pochissimo tempo era diventato universalmente noto.
Ma questo gravissimo difetto di FaceTime oltre che per la sostanza in sé, solleva preoccupazioni ben più generali sulle pratiche di sicurezza che la Apple adotta sui propri dispositivi e tutto questo in un momento in cui la società denuncia risultati finanziari deludenti dopo tanti anni di “vacche grasse”. A peggiorare la situazione, anche la storia di un adolescente e di sua madre che per giorni pare che abbiano tentato di avvisare Apple del problema senza essere presi in considerazione. Si tratterebbe di Michele Thompson, un’avvocatessa dell’Arizona la cui identità è stata confermata dal Wall Street Jounal, e che ha pubblicato la scoperta del bug da parte di suo figlio sia su Twitter che su Facebook già il 20 gennaio scorso, ben 8 giorni prima che Apple prendesse provvedimenti.
“Mio figlio ha appena trovato un difetto importante nel nuovo iOS di Apple, che consente di ascoltare un’altra persona nelle vicinanze del proprio iPhone o iPad”, ha scritto la Thompson su Facebook . “Abbiamo appena inviato la segnalazione di bug ad Apple e stiamo aspettando di avere notizie. Non forniremo i dettagli dal momento che è un grosso rischio per la sicurezza, ma è incredibile che il mio ragazzino quattordicenne l’abbia capito “. La Thompson ha fatto numerosi tentativi per avvisare l’Apple del problema, prima attraverso i social media e successivamente attraverso il sistema di assistenza clienti dell’azienda . Alla fine è arrivata al punto di registrarsi come sviluppatrice per presentare un rapporto attraverso il programma BugBug di Apple. Tutto ciò ha aperto anche il fronte delle procedure adottate dalla compagnia per ricevere segnalazioni riguardo a possibili vulnerabilità.
In difesa dell’Apple ha parlato Katie Moussouris, la fondatrice del programma Bug Bug di Microsoft e CEO di Luta Security. La dirigente ha affermato che il problema per Apple non è stato quello di non agire abbastanza rapidamente per correggere l’errore, ma di non riuscire a gestire le aspettative di persone come la Thompson su quanto velocemente un bug possa essere patchato. “Quando si tratta di questioni tanto delicate, è meglio non precipitarsi”, ha detto Moussouris. “E’ importante fare indagini approfondite se non vuoi rischiare conseguenze non prevedibili. E’ importante che le eventuali patch siano affidabili, che la gente possa fidarsi e che comunque non rovinino qualcosa per aggiustare altro. ”
Ovviamente per Apple, lo scenario migliore sarebbe stato quello di mantenere l’esistenza della vulnerabilità segreta fino a quando la patch non fosse stata testata e pronta, ha spiegato Moussouris, un processo che poteva ragionevolmente richiedere da 30 a 60 giorni. Un tempo davvero notevole anche se per un bug tanto grave e delicato.
Altre voci si sono levate in difesa della Apple che comunque resta un fiore all’occhiello dell’industria informatica americana. il dottor Jonathan Hill, preside dell’informatica e dei sistemi informatici presso la Pace University, sostiene che la possibilità per il telefono di inviare audio prima di rispondere è “non un bug”. È una caratteristica. ” Il bug stesso era probabilmente un “errore logico”, ha affermato invece il dott. Lukasz Olejnik, un ricercatore indipendente in materia di sicurezza informatica e privacy. “Gli errori logici fanno sì che i sistemi si comportino in modo inaspettato”, ha spiegato, e potrebbero essere solo il risultato di una supervisione. “Apple ha uno dei migliori team di sicurezza e privacy al mondo. Questo caso evidenzia quanto in pratica sia difficile mantenere sempre sia la sicurezza che la privacy ”
Qualcuno ha detto che il bug FaceTime è come “un occhio nero” per un’azienda che ha davvero una solida reputazione per la sicurezza e la privacy. Ora alla Apple dovranno essere completamente trasparenti su come è successo questo bug e quando è stato introdotto. Dovranno rilasciare informazioni su come sia stato utilizzato e cercare di dare più informazioni sia ai clienti colpiti che a quelli che magari non usano FaceTime.
Se l’Apple non vuole perdere tanto, deve cercare di essere superiore anche ai sospetti.