Apple conferma: anche OS X contiene il bug di sicurezza SSL che conteneva iOS, ma la falla sarà riparata presto. La dichiarazione, che fa seguito ad alcune informazioni diffuse da fonti indipendenti di ricercatori che avevano individuato il bug, è di Trudy Muller, uno dei portavoce di Apple: «Siamo a conoscenza – dice Muller – delle osservazioni avanzate in merito. Abbiamo già pronta la soluzione e la rilasceremo rapidamente».
Tra venerdì, giorno in cui Apple ha rilasciato un aggiornamento per iOS 7 e iOS 6 con il quale faceva fronte al problema, e ieri, si sono accavallate numerose voci intorno alla vicenda. Due di queste, quella di Dimitri Alperovich, chief technology officer di CrowdStrike e Adam Langley, di Google, sostenevano che il bug era presente anche nel sistema operativo per computer e che era stato introdotto probabilmente con il lancio di Mavericks, cosa che ora è confermata.
La pericolosità del bug è stata sottolineata dal professor Matthew Green, un docente di crittografia della Johns Hopkins University secondo cui la falla «è il peggio che si possa immaginare». In pratica il sistema non è in grado di riconoscere in maniera affidabile un sito protetto via SSL, banche, Google, Facebook, siti di ecommerce. Tutti quelli che stabiliscono un collegamento criptato tra i server e il computer di destinazione, quelli che, insomma, hanno un indirizzo che comincia per https e mostrano un lucchetto nel browser.
Se un pirata è presente nella stessa rete cui ci stiamo collegando, ad esempio un network pubblico, il bug gli consentirebbe di frapporsi tra noi e il server remoto, dandogli modo di intercettare tutto il traffico criptato e anche di modificare i dati al volo. Questo non vuole solo dire intercettare dati sensibili, come password e carte di credito, ma anche installare componenti pericolose per il sistema operativo o dirottare il traffico verso siti pirata: ad esempio si potrebbe riscrivere una mail di una persona che conosciamo bene e che risponde ad un nostro messaggio, cambiando un link al suo interno per mandarci verso un server che ci ruberà informazioni.
La pericolosità del bug è tale da aver fatto sorgere teorie complottiste. Secondo qualcuno sarebbe stato collocato da qualche entità che voleva creare una backdoor nei sistemi operativi Apple. Secondo qualcun altro è invece solo la prova che Apple non svolge accurati test sulla sicurezza del suo sistema operativo. Secondo Adam Langley, che in Google si occupa proprio di questo tipo di problematiche, la spiegazione è più semplice: si tratta di un grave errore, ma compiuto in buona fede e che non si può rilevare senza procedure di test molto elaborate: «mi spiace davvero per chi l’ha commesso», commenta Langley.
Quali che siano le ragioni e gli effetti della falla, ora conta però poco. La cosa importante per Apple è accelerare il rilascio di un aggiornamento perchè visto che il bug è noto ed è presente in un grande numero di Mac ed è anche molto pericoloso, come appare di tutta evidenza.
