iOS e OS X, la gestione degli update di Apple mette a rischio la sicurezza

Apple non corregge i bug su iOS e OS X con la stessa celerità, e questo modo di fare può compromettere la sicurezza degli utenti. Ecco perché.

mavericksios7

Kristin Paget, un noto ricercatore di sicurezza ed ex-impiegata della mela, ha criticato pesantemente Cupertino per la gestione poco reattiva delle vulnerabilità in iOS e OS X. A suo dire, passa sempre troppo tempo tra le patch dell'uno e dell'altro Sistema Operativo, e questo crea un potenziale pericolo per milioni di utenti sparsi per il mondo.

Prendete quel che è accaduto di recente. Con iOS 7.1.1, rilasciato solo poche ore fa, Apple riparava alcune falle in WebKit che su Mac erano già state calafatate il primo aprilo scorso col rilascio di Safari 7.0.3. In questo periodo-finestra, gli utenti sono rimasti immotivatamente esposti al rischio che un malintenzionato mettesse a frutto le conoscenze note (ma non ancora corrette) con degli attacchi mirati. Sul suo blog, la Paget scrive:

È questo il modo di fare business? Rilasciare una patch per un prodotto che elenca nel dettaglio le vulnerabilità di sicurezza della tua piattaforma, e poi riparare alle medesime debolezze sui tuoi altri prodotti con settimane di ritardo? Davvero non noti nulla di sbagliato in tutto questo?
Qualcuno mi dirà che sono una pazza. Apple predica le virtù di avere il medesimo kernel (e qualche altro pezzo di Sistema Operativo) condiviso tra due piattaforme; ma allora, perché correggere solo una piattaforma alla volta, esponendo così l'intera base utenza della seconda piattaforma alle vulnerabilità note per le settimane successive?

La critica è servera. Per la ricercatrice, Apple dovrebbe mettersi alla lavagna -tipo Bart Simpson- e scrivere 100 volte: "Non userò iOS per rendere note falle 0day su OS X, né userò OS X per rendere note falle 0day di iOS." E in effetti, il fenomeno si ripete con una cadenza davvero preoccupante.

Ricorderete sicuramente il bug nelle connessioni SSL/TSL di iOS e OS X che metteva a repentaglio l'integrità e la segretezza dei dai sensibili trasmessi online (numero della carta di credito, e-mail, ecc…), oltreché la sicurezza relativa a Safari, FaceTime, iMessage e molte altre componenti di sistema. Su iOS la vulnerabilità è stata corretta con iOS 7.0.6 ma per la patch omologa su OS X c'è voluto qualche giorno di attesa in più. Ed è lì che casca l'asino, e che iniziano i problemi. Se iOS e OS X sono davvero due facce della stessa medaglia, è ora che Apple inizi sul serio a trattarli come tali. Il rischio, infatti, è di fornire un assist involontario ad hacker e compagnia.

    Non dimenticate di scaricare la Blogo App, per essere sempre aggiornati sui nostri contenuti. E’ disponibile su App Store e su Google Play ed è gratuita.
  • shares
  • Mail