Apple stringe sulla sicurezza: tanti soldi e iPhone 'speciali' ai ricercatori


Aggiornamento del 9 agosto 2019

Nel tentativo di irrobustire la sicurezza del proprio ecosistema mobile, Apple aumenta le ricompense per i cacciatori di bug, istituisce un programma Bounty anche per macOS e infine fornirà in segreto ai ricercatori modelli "speciali" di iPhone che permetteranno di testarne i punti deboli e stanare gli errori di progettazione. Ecco in cosa differiscono rispetto a quelli normali, in vendita nei negozi.

Pioggia di Soldi


Sembra incredibile ma, fino a ieri, l'unico meccanismo di ricompensa ufficiale per chi forniva ad Apple soffiate utili a chiudere vulnerabilità critiche, riguardava iOS; macOS, in altre parole, era escluso e comunque le ricompense erano da fame. In passato, infatti, diversi esperti si erano pesantemente scagliati contro la mela per la taccagneria delle taglie.

Ma ora cambia tutto. Non soltanto viene introdotto un programma di Bounty per macOS, ma vengono perfino aumentate le ricompense con massimali che vanno da 200.000 a 1 milione di dollari in base alla gravità della vulnerabilità segnalata. Per l'assegno a 9 zeri, ad esempio, servirà un attacco completo d'esecuzione del codice Kernel senza interazione e con persistenza. Un'impresa non proprio alla portata di chiunque.

Super iPhone


Le indiscrezioni dicevano la verità. Alla conferenza di sicurezza Black Hat di Las Vegas, Apple presenterà introdotto diverse novità, tra cui per l'appunto l'accesso a dei super-iPhone. L'idea è di fornire agli esperti accreditati dei telefoni molto simili ai cosiddetti "dev devices", cioè non chiusi come le controparti in commercio, così da facilitare il lavoro di individuazione dei bug.

Ma cos'è che rende questi iPhone tanto speciali? "Pensate a degli iPhone che consentano all'utente di fare molto più di quanto non si potrebbe sugli iPhone normalmente chiusi," spiega Forbes:

"Per esempio, sarebbe possibile testare pezzi del sistema operativo di Apple che non sono accessibili su un iPhone commerciale. In particolare, i dispositivi speciali potrebbero consentire agli hacker di fermare il processore e ispezionare la memoria per individuare vulnerabilità. Ciò consentirebbe di vedere quel che accade a livello di codice quando tentato un attacco."

Una parziale apertura da parte di Apple, dunque, e una decisa virata rispetto alla sua proverbiale segretezza, almeno per quanto concerne la cybersecurity. Ovviamente, non consentiranno di scoprire tutti i segreti di Cupertino, anche perché se tali dispositivi cadessero nelle mani sbagliate, ci ritroveremmo con ben altre gatte da pelare (che in confronto, i bug di iPhone erano uno scherzo).

Si parla infatti di versioni "light" dei "dev devices" che impediranno comunque di accedere alle parti critiche del dispositivo, inclusa la possibilità di decrittare il firmware. Una cautela che dovrebbe -si spera- farci dormire tranquilli e regalarci un ecosistema sempre più affidabile.

  • shares
  • Mail