Ivan Rodriguez, un ricercatore specializzato in sicurezza informatica, propone un nuovo standard per la sicurezza delle app iOS che consiste nella creazione di un file Security.plist da associsare ad ogni app.
L’idea è semplice: gli sviluppatori di app dovrebbero creare un documento plist (abbreviazione di Property List, file che memorizzano oggetti, spesso usati per memorizzare le preferenze impostate dall’utente), da incorporare nella stessa radice dove risiedono i file con l’app iOS.
Nel file in questione potrebbero essere memorizzati dettagli che consentirebbero ai ricercatori specializzati in sicurezza di mettersi subito in contatto con gli sviluppatori. Rodriguez spiega che l’idea del file Security.plist arriva da Security.txt, funzionalità di sicurezza che permette di individuare e mettersi in contatto con gli sviluppatori di molti siti web, uno standard in via di approvazione da parte dell’Internet Engineering Task Force (IETF), l’organismo internazionale che si occupa dell’evoluzione tecnica e tecnologica di Internet.
L’uso del file Security.txt non è uno standard definitivo ma, spiega ZDNet, è sfruttato da aziende quali Google, GitHub, LinkedIn e Facebook, le quali memorizzano il file in questione nei loro siti per consentire ai cacciatori di bug di mettersi in contatto con i rispettivi team che si occupano di sicurezza.
Rodriguez, che è un cacciatore di bug amatoriale di app iOS, riferisce di avere pensato a uno standard del genere per le difficoltà incontrate di volta in volta per mettersi in contatto con vari sviluppatori. «Passo la maggior parte del mio tempo libero a curiosare nelle applicazioni mobile, passatempo che mi portato a individuare varie vulnerabilità, e non ho finora individuato un modo facile per trovare il canale corretto per divulgare in maniera responsabile tali questioni».
«Il più delle volte – dichiara ancora Rodriguez – Devo scrivere una mail generica, a [email protected], compilare un modulo sul sito dell’azienda o passare dalla pagina dei contatti. Molti di questi sistemi sono gestiti da persone che si occupano di marketing o vendite e che spesso non hanno idea su come rispondere, cosa fare, o anche comprendere se si tratta di un problema reale». Rodriguez sostiene che sarebbe tutto molto più semplice se nell’app fosse integrato un meccanismo di contatto specifico per segnalare i problemi di sicurezza.
Per il momento quella di Rodriguez è solo un’idea, lanciata per capire se gli sviluppatori sono interessati. Il ricercatore non ha per il momento ricevuto reazioni da parte di Apple ma l’idea è certamente interessante e soprattutto semplicissima da implementare.