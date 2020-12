Giacomo Martiradonna,

Aggiornamento del 23 dicembre 2020

Con lo scopo di irrobustire la sicurezza dei propri sistemi operativi, Apple non soltanto ha deciso di aumentare le ricompense per i cacciatori di bug e di introdurne per macOS, ma sta fornendo in segreto ai ricercatori modelli “speciali” di iPhone che permetteranno di testare i punti deboli e stanare gli errori di progettazione di iOS. Ecco in cosa differiscono rispetto a quelli normali, in vendita nei negozi.

Pioggia di Soldi

Sembra incredibile ma, fino a poco tempo fa, l’unico meccanismo di ricompensa ufficiale per chi forniva ad Apple soffiate utili a chiudere vulnerabilità critiche, riguardava iOS; macOS, in altre parole, era escluso e comunque le ricompense erano da fame. In passato, infatti, diversi esperti si erano pesantemente scagliati contro la mela per la taccagneria delle taglie.

Ma da quest’anno cambia tutto. Viene infatti introdotto un programma di Bounty per macOS, e vengono perfino aumentate le ricompense con massimali che vanno da 200.000 a 1 milione di dollari in base alla gravità della vulnerabilità segnalata. Per l’assegno a 9 zeri, ad esempio, servirà un attacco completo d’esecuzione del codice Kernel senza interazione e con persistenza. Un’impresa non proprio alla portata di chiunque.

Super iPhone

Le indiscrezioni lo dicevano sin dall’inizio dell’anno. Alla conferenza di sicurezza Black Hat di Las Vegas, Apple ha presentato diverse novità, tra cui per l’appunto i super-iPhone per i ricercatori di sicurezza. L’idea è di fornire agli esperti accreditati dei telefoni molto simili ai cosiddetti “dev devices”, cioè non chiusi come le controparti in commercio, così da facilitare il lavoro di individuazione dei bug.

Ma cos’è che rende questi iPhone tanto speciali? “Pensate a degli iPhone che consentano all’utente di fare molto più di quanto non si potrebbe sugli iPhone normalmente chiusi,” spiega Forbes:

“Per esempio, sarebbe possibile testare pezzi del sistema operativo di Apple che non sono accessibili su un iPhone commerciale. In particolare, i dispositivi speciali potrebbero consentire agli hacker di fermare il processore e ispezionare la memoria per individuare vulnerabilità. Ciò consentirebbe di vedere quel che accade a livello di codice quando tentato un attacco.”

Una parziale apertura da parte di Apple, dunque, e una decisa virata rispetto alla sua proverbiale segretezza, almeno per quanto concerne la cybersecurity. Ovviamente, non consentiranno di scoprire tutti i segreti di Cupertino, anche perché se tali dispositivi cadessero nelle mani sbagliate, ci ritroveremmo con ben altre gatte da pelare (che in confronto, i bug di iPhone erano uno scherzo).

Si parla infatti di versioni “light” dei “dev devices” che impediranno comunque di accedere alle parti critiche del dispositivo, inclusa la possibilità di decrittare il firmware. Una cautela che dovrebbe -si spera- farci dormire tranquilli e regalarci un ecosistema sempre più affidabile.

Dev-Device in Arrivo

E proprio nelle scorse ore, sono partite le consegne di questi particolari iPhone Dev Device. In base alle condizioni contrattuali, i ricercatori potranno tenere il dispositivo per un anno, con possibilità di rinnovo alla scadenza.

Grazie ad essi potranno indagare sul funzionamento dell’OS senza ricorrere al Jailbreak o ad altri escamotages tecnici che rallentano, e rendono inutilmente complicato il processo di debug. I frutti di questo impegno si tradurranno in maggiore sicurezza e robustezza di iOS, e dunque in vantaggi per gli utenti, nel corso dei prossimi ed anni.

