Apple ha costruito il suo impero su una promessa: il tuo iPhone è al sicuro. Il famoso walled garden (in italiano, “giardino recintato”) dell’azienda – con hardware, software e curatela dell’App Store rigorosamente controllati – dovrebbe essere l’invidia del mondo digitale. È il motivo per cui gli utenti Apple dormono un po’ più tranquilli, perché le autorità di regolamentazione danno all’azienda più spazio di manovra e perché Apple può affermare con credibilità di “pensare in modo diverso”.
Ma cosa succede se il walled garden ha dei buchi?
Una nuova ricerca condotta dal team di Cybernews rivela un’enorme falla nella sicurezza al centro dell’App Store di Apple: oltre 110mila app iOS – circa sette su dieci da noi analizzate – rivelano “segreti hardcoded”, tra cui chiavi API, token di autenticazione e credenziali di archiviazione cloud. Molti di questi segreti consentono l’accesso a dati sensibili degli utenti. Alcuni potrebbero consentire il furto completo dell’account. Altri – come quelli presenti nelle app di incontri fetish – hanno rivelato foto private inviate in via confidenziale.
Si tratta di un fallimento sistemico e Apple, con tutte le sue risorse e la sua retorica sulla sicurezza, dovrebbe esserne ritenuta responsabile.
Segreti nascosti in bella vista
Iricercatori hanno scaricato 156mila app iOS, circa l’8% dell’App Store. Abbiamo utilizzato analisi automatizzate e reverse engineering – le stesse tecniche usate dagli aggressori – per individuare segreti nascosti direttamente nel codice dell’app. Il tipo di segreti che gli sviluppatori non dovrebbero mai archiviare lì.
Tra gli oltre 816mila segreti svelati, è stato scoperto:
- 94.240 bucket di archiviazione hardcoded, di cui 836 (0,89%) privi di autenticazione. Queste istanze aperte hanno esposto oltre 76 miliardi di file, con una perdita di 406 TB di dati
- 51.098 URL Firebase, di cui 2.218 (4,34%) privi di autenticazione. Queste istanze aperte hanno esposto 19,8 milioni di record, con conseguente fuga di dati per 33 GB, inclusi token di sessione utente e analisi backend. Quasi tutte queste istanze sono ospitate negli Stati Uniti
- Sono state esposte 8.439 chiavi API di Fabric. Fabric, un sistema di gestione degli ordini, utilizza queste chiavi per gestire, tracciare ed evadere gli ordini
- 3.343 chiavi Branch live esposte. Branch.io è una piattaforma di marketing utilizzata per tracciare le campagne e abilitare il deep linking avanzato
Nel caso di cinque app di incontri di nicchia , dedicate a utenti LGBTQ+ e comunità kink, le fughe di notizie sono state particolarmente preoccupanti. Poiché i loro sviluppatori hanno integrato le credenziali di Google Cloud nel codice delle loro app iOS, è stato trovato un milione e mezzo di immagini private di utenti in bucket cloud non protetti: foto intime, selfie con verifica dell’identità e persino immagini segnalate per violazione delle regole della piattaforma. Tutte accessibili al pubblico.
Questo è il tipo di fuga di notizie che può rovinare vite, soprattutto nei Paesi in cui l’omosessualità è un reato. Eppure queste app hanno superato il processo di revisione di Apple e rimangono attive sull’App Store.
Il mito dell’App Store sicuro
I difensori di Apple potrebbero fare riferimento alle sue Linee Guida per la Revisione dell’App Store. Sono solide, almeno sulla carta, e coprono sicurezza, prestazioni e conformità legale. Ma non menzionano da nessuna parte la scansione alla ricerca di segreti hardcoded. Se Apple verifica questi punti deboli dietro le quinte, i risultati suggeriscono che sta facendo un pessimo lavoro.
Al contrario, grandi aziende tecnologiche come GitHub, Google e AWS dispongono tutte di sistemi di rilevamento automatizzati per individuare segreti nascosti nel codice. Apple, con la sua valutazione di mille miliardi di dollari, potrebbe facilmente implementare lo stesso, ma non l’ha fatto.
Perché no?
Un motivo potrebbe essere la velocità. Il flusso di approvazione delle app di Apple è enorme e rallentarlo per aggiungere una scansione di sicurezza approfondita potrebbe incidere sui ricavi dell’App Store, soprattutto per le app gratuite basate su modelli basati sulla pubblicità. Ma un altro motivo potrebbe essere filosofico. Apple preferisce posizionarsi come un’azienda hardware con la privacy integrata. Ciò che accade all’interno delle app, questo implica, è responsabilità degli sviluppatori.
Questa distinzione poteva funzionare nel 2010. Oggi non è più valida.
Il vero costo della comodità
La maggior parte degli sviluppatori non è malintenzionata. Sono solo sotto pressione. Codificare i segreti è più veloce che creare flussi di autenticazione sicuri. Aggiornare un’app per correggere un segreto trapelato può essere rischioso e richiedere molto tempo. Molti sviluppatori sperano semplicemente che nessuno se ne accorga.
Ma gli aggressori se ne accorgono.
Nel 2016, Uber è stata violata perché degli hacker hanno trovato credenziali AWS hardcoded. Nel 2022, Toyota ha lasciato esposte le chiavi GitHub per cinque anni. Non si è trattato di operazioni da principianti, ma di fallimenti da parte di grandi aziende.
Se errori simili possono verificarsi in Uber e Toyota, immaginate i rischi che si corrono in centinaia di migliaia di app create da piccole aziende o sviluppatori freelance.
In un’epoca in cui il 78% delle persone utilizza dispositivi mobili per attività finanziarie e sanitarie delicate e il 71% dei dipendenti utilizza il telefono per lavoro, la posta in gioco non potrebbe essere più alta. Una chiave API compromessa potrebbe consentire a un aggressore di leggere la tua storia clinica, dirottare il tuo portafoglio di criptovalute o impersonarti in un attacco di phishing.
Apple ha il potere. Dovrebbe usarlo.
Apple si presenta spesso come paladina della privacy in un mondo digitale pericoloso. Promuove la crittografia, la trasparenza del tracciamento delle app e l’elaborazione on-device. In netto contrasto con Android, dove la raccolta dati e le falle di sicurezza sono discusse più apertamente.
Ma la sicurezza non si limita alla schermata di blocco. E nonostante tutta la sua abilità tecnica, Apple non ha ancora sviluppato le misure di sicurezza necessarie per impedire che le app non sicure trasmettano dati utente, o persino la loro dignità.
Gli strumenti per risolvere questo problema sono facilmente reperibili:
- Gli strumenti di analisi statica possono rilevare automaticamente i segreti codificati
- Un requisito per la scansione delle credenziali potrebbe essere aggiunto alla revisione dell’App Store
- Apple potrebbe revocare i segreti vulnerabili in coordinamento con gli sviluppatori
Non si tratta di misure radicali. Sono pratiche standard in aziende molto più piccole di Apple.
Dov’è la responsabilità di Apple?
Non dovremmo confondere il marketing astuto con la sicurezza. E non dovremmo lasciare Apple impunito solo perché l’alternativa potrebbe essere peggiore. Il controllo rigoroso di Apple sul suo ecosistema le conferisce un enorme potere, ma questo comporta anche delle responsabilità.
Apple decide già quali app possono essere eseguite sui suoi dispositivi, come vengono elaborati i pagamenti e quali API sono accessibili. Dovrebbe anche garantire che le app che approva non espongano incautamente i dati privati degli utenti a Internet.
Fino ad allora, il walled garden potrebbe sembrare incontaminato, ma è pieno di erbacce.
