Un programma scaricato da App Store può raccogliere una quantità significativa di dati personali e potenzialmente essere letale per la privacy e la sicurezza. Ecco le basi intorno a cui alla prossima Black Hat Conference, un incontro dedicato allo spinoso settore dell’hacking e della tutela dei sistemi informatici, verrà allestito un dibattito concernente l’ecosistema iPhone.
Protagonista sarà Nicolas Seriot, un esperto svizzero del settore. ” Un programma per iPhone – dice Seriot – è in grado di raccogliere informazioni come il nome completo, l’indirizzo email, il numero di telefono, le cache con le digitazioni della tastiera, i registri dei collegamenti Wi-Fi e anche la più recente posizione rilevata con il GPS”.
Secondo Seriot, che ha operato in qualità di consulente per un consorzio di banche elvetiche interessate ad appurare l’affidabilità e la sicurezza delle informazioni personali memorizzate in iPhone, “nessuno aveva conoscenza e coscienza del fatto che così tanti dati personali erano a rischio anche sugli iPhone non sbloccati. Ad un ritmo di 10.000 nuove App sottoposte quotidianamente per l’approvazione, occorre mettere in conto che su App Store il malware può infiltrarsi con relativa facilità ”
“Apple dovrebbe evitare di dire che le App non possono accedere ai dati di altre applicazioni – è l’opinione di Seriot – Questo non solo è concettualmente e praticamente sbagliato, ma ingenera una pericolosa e smodata fiducia nel sistema”. Secondo l’esperto di sicurezza il processo di approvazione obbligatorio per la pubblicazione su App Store potrebbe essere anche utilizzato per un sistema in grado di validare il grado di sicurezza delle App. Apple dovrebbe richiedere ai programmatori un profilo di sicurezza che illustri per ogni App le risorse e i dati a cui fa accesso: “Questo sarebbe un modo intelligente di sfruttare il processo di esame obbligatorio di App Store” conclude Seriot.
Nel suo intervento, previsto per domani, Nicolas Seriot (che ha anche scritto un software dimostrativo allo scopo di dimostrare quel che si può fare su un iPhone sottoposto ad hack) non prenderà di mira esclusivamente l’App Store e l’ecosistema della Mela ma anche gli altri App Store. Ci saranno senza dubbio riferimenti all’Android Market di Google da cui Big G ha già dovuto rimuovere alcuni applicativi di mobile banking sospetti, dopo aver ricevuto alcuni avvisi dalle istituzioni finanziarie.
L’esperto di sicurezza sostiene che al momento non c’è molto che gli utenti possano fare per mettersi al riparo, tranne che ripulire le chache dello smartphone per tastiera, browser e magari rimuovere il proprio numero di cellulare dalle impostazioni. Ancora più drastici i consigli indirizzati alle aziende: qui gli amministratori con i tool di configurazione per flotte possono disabilitare Safari e anche App Store, una rinuncia dolorosa, visto che si tratta dei due cavalli di battaglia di iPhone, ma necessaria se si vuole evitare ogni rischio.