All’inizio di questo mese Ivan Krstic, responsabile security engineering di Apple, ha parlato nel corso della Black Hat Conference, importante conferenza dedicata alla sicurezza. Nel corso dell’evento Krstic ha parlato di questo argomento dal punto di vista di Apple e annunciato un programma di bug bounty che prevede compensi fino a duecentomila dollari per chi individua importanti vulnerabilità nei suoi sistemi operativi.
L’intervento di Krstic è ora disponibile sul canale YouTube di Black Hat in un filmato dal titolo “Behind the Scenes of iOS Security. Nell’intervento, Krstic illustra tre meccanismi di sicurezza di iOS che hanno a che fare con HomeKit, Auto Unlock e il portachiavi iCloud. Si tratta di tecnologie che gestiscono “dati eccezionalmente sensibili” spiega l’ingegnere della Mela e che consentono di controllare i dispositivi (incluso il blocco), sbloccare il Mac dall’Apple Watch, gestire nomi utente e password, informazioni relative alle carte di credito.
Krstic ha spiegato che le tradizionali vulnerabilità dei browser sono diventate più complesse da sfruttare per via di specifiche tecniche che consentono di mitigare questo tipo di problematiche. Tra le peculiarità di iOS 10 sul versante sicurezza, un nuovo compilatore just-in-time o JIT che rende più complesso prendere di mira il sistema.
Da sempre iOS e i dispositivi iOS offrono funzionalità di sicurezza avanzate pur mantenendo la facilità d’uso. Molte di queste funzionalità sono abilitate per default; le funzionalità chiave relative alla sicurezza, come ad esempio la codifica del dispositivo, non sono configurabili dunque gli utenti non possono disabilitarle per errore. Altre funzioni, come ad esempio Touch ID, migliorano considerevolmente l’esperienza utente sul versante sicurezza, così come la firma obbligatoria del codice, il sandboxing e le autorizzazioni: un insieme che fornisce agli utenti una solida protezione contro virus, malware e attacchi che compromettono la sicurezza di altre piattaforme.