StopBadware.org: Apple deve correre ai ripari con Safari


Il consorzio StopBadware.org, che si occupa di monitorare la sicurezza dell'ecosistema informatico, ha reso noto di aver invitato formalmente Apple a porre rimedio ad una vulnerabilità di Safari, ritenuta potenzialmente molto pericolosa.
Il problema, messo in evidenza da Nitesh Dhanjani, consiste non tanto in una falla nel codice del programma ma nel modo in cui è configurato di default.
Il browser di Apple, infatti, è impostato in modo da scaricare automaticamente i file, senza un consenso preventivo dell'utente (cosa, tra l'altro, limitata alla sola versione per Windows NdR). Potenzialmente, navigando in un sito web, è dunque possibile trovarsi nella cartella di download file eseguibili pericolosi, mascherati da file sicuri.
Questa, grosso modo, la situazione descritta.
Ma permettetemi, dopo il "salto", un commento, perché questa faccenda è davvero poco convincente.

Alcuni di voi ricorderanno il "trojan" OSX.RSPlug.A, impropriamente definito il primo virus per Mac: si scoprì che, perché potesse creare danno, era necessario che l'utente intervenisse attivamente per farlo partire, ignorando gli avvisi del sistema.
Qui siamo più o meno nella stessa situazione.
Se mi dicessero: "Attenzione, se navighi un sito potresti ritrovarti installato ed in esecuzione un malware senza accorgetene", io mi preoccuperei e pretenderei una patch da parte di Apple.
Ma qui, per creare danno, sono io che devo, consapevolmente, eseguire i file scaricati.

La soluzione proposta da Nitesh Dhanjani è di introdurre un sistema di avvisi che informi l'utente prima di compiere qualsiasi operazione: una soluzione è assolutamente inaccettabile in quanto, di fatto, duplicherebbe il numero di passi necessari per fare qualsiasi cosa.
Tra l'altro la soluzione dell'avviso continuo è anche, in prospettiva, totalmente inefficace: avvisare "a tappeto" significa abituare l'utente a dare il proprio consenso positivo nella stragrande maggioranza delle volte. Quando si presentasse un file davvero pericoloso, è molto probabile che l'utente non se ne accorga e faccia click, comunque, su "Yes".

Una certa area del mondo dell'IT Consumer vorrebbe che il sistema si comportasse da "chioccia", considerando l'utente sempre e comunque uno sprovveduto. Spesso, invero, la realtà è questa, ma non sempre. Un approccio a senso unico in questa direzione è, dunque, sbagliato e controproducente.
La tecnologia attualmente disponibile è sicuramente in grado di far fronte a queste problematiche in maniera più raffinata ed efficace. Ma non è un problema di tecnologia, è un problema di approccio.
Dirò di più: non è nemmeno un problema di "Mac uber Windows". I due sistemi operativi sono sì stati strutturati su sistemi di protezione diversi, ma la grande differenza è che Microsoft ha ceduto, con Vista, a questa filosofia; Apple ancora non del tutto.
Ma la direzione non è questa...

  • shares
  • +1
  • Mail
18 commenti Aggiorna
Ordina: