Il Georgia Institute of Technology ha finalmente presentato un dettagliato rapporto sulla sua applicazione di test Jekyll, attraverso cui il gruppo di studio è riuscito a violare la sicurezza e il processo di controllo dell’App Store, come avevamo riportato ad inizio mese. L’applicazione, creata ad hoc con alcune vulnerabilità celate dietro alle funzioni “ufficiali”, ha con successo superato il processo di approvazione e sicurezza in vigore presso l’App Store, in quanto apparentemente priva di qualunque pericolo o rischio per l’utenza.
Un volta installata su un dispositivo, però, il team di sviluppo é riuscito ad effettuare un exploit sulle vulnerabilità precedentemente introdotte e a modificare significativamente in maniera remota il codice alla base dell’applicazione, mantenendo la firma digitale di Apple che ne dovrebbe garantire l’integrità, ma trasformandola in programma “pirata” capace di inviare tweet, sms, email, sottrarre l’ID del telefono, attaccare altre applicazioni o aprire Safari su siti di dubbio valore.
Come confermato dal Georgia Institute of Technology, gli utenti non devono però temere: la app é rimasta disponibile su App Store per pochi giorni durante il mese di marzo e dopo la pubblicazione da parte del team di controllo di Apple è stata installata solo su dispositivi deputati alla conduzione dell’esperimento di sicurezza indicato.
Apple non ha commentato in maniera immediata l’accaduto e, sebbene siano state in seguito apportate delle modifiche al codice di App Store successivamente alla presentazione dello studio del Georgia Institute of Technologya, non é chiaro se la falla sfruttata da Jekyll sia stata in qualche modo chiusa da Cupertino in maniera sicura o se lo sarà definitivamente con il rilascio della versione definitiva dell’imminente iOS 7. Lo scopo dei ricercatori USA era semplicemente quello di evidenziare i punti deboli legati ad App Store, stessi punti deboli sfruttati anche su Android con le stesse modalità e i medesimi scopi.
