Il sito TUAW afferma che la recente richiesta agli sviluppatori di rifirmare le applicazioni, è una necessità causata dalla scoperta di una vulnerabilità che riguarda non solo le chiavi del Gatekeeper ma anche molte altre chiavi di altri elementi. L’utente Twitter @SomeoneSW, un account creato da pochissimo, afferma di essere a conoscenza di un problema di “data breach” che riguarderebbe “virtualmente qualsiasi chiave usata da Apple per tutto”; l’utente dell’account afferma di essere stato avvicinato e di aver ricevuto una proposta di comprare le chiavi in questione. Il problema riguarderebbe anche l’Enterprise Signing Key di Apple, meccanismo utilizzato a livello aziendale per bypassare il blocco iCloud.
Il Gatekeeper è una funzionalità introdotta con OS X 10.8 Mountain Lion. Gli utenti possono installare applicazioni firmate dagli sviluppatori mediante certificati digitali (l’opzione può essere disattivata dalla sezione “Sicurezza e Privacy” delle Preferenze di Sistema) un meccanismo che consente di installare le app solo se queste provengono da una fonte nota e sicura. La funzione (modificabile dalla sezione “Sicurezza e Privacy” delle Preferenze di Sistema), impedisce l’installazione di applicazioni non firmate digitalmente da Apple. In sostanza gli sviluppatori che vogliono essere presenti sul Mac App Store o distribuire applicazioni considerate “sicure” devono firmare digitalmente le applicazioni e solo la presenza di questa firma consente l’esecuzione del software.
Le applicazioni che gli sviluppatori non rifirmeranno potrebbero essere segnalate come non sicure dal Gatekeeper dai futuri OS X 10.9.5 o OS X 10.10 Yosemite.
