L’importante falla di sicurezza scoperta nei protocolli OpenSSL, rinominata Heartbleed per la sua gravità, non colpisce iOS, OS X e i servizi web gestiti direttamente da Cupertino. È la stessa Apple a comunicarlo, con una nota pubblicata su Re/Code.
Nella giornata di ieri un’estrema preoccupazione ha travolto addetti ai lavori e semplici utenti nello scoprire come i protocolli OpenSSL, quelli solitamente utilizzati per le comunicazioni criptate su server sicuri, non siano in realtà affidabili. Un grave bug permetterebbe a malintenzionati di perpetrare attacchi senza lasciare traccia alcuna del loro passaggio, con la conseguenza di ottenere facile accesso a dati sensibili, considerato come SSL sia largamente implementato per servizi come online banking, profili sui social network, webmail e molto altro ancora. I portavoce di Cupertino, tuttavia, ci tengono a sottolineare come i servizi web Apple connessi a iOS e OS X non siano affetti dalla vulnerabilità:
«Apple prende la sicurezza molto seriamente. iOS e OS X non hanno mai incorporato il software vulnerabile e i servizi web chiave non ne sono affetti.»
Il riferimento è a quei servizi gestiti direttamente da Apple, come iCloud o Apple Store, ma non ovviamente a tutto il nugolo di terze parti accessibili tramite iOS oppure OS X. Se con il proprio browser Safari ci si collegasse a un sito che fa uso del protocollo OpenSSL non ancora corretto, l’esposizione al rischio sarebbe comunque presente. Vale la pena di specificare, inoltre, come il bug agisca sul lato server e non direttamente sulla macchina dell’utente finale, a meno che sul computer o su un device portatile non siano installate applicazioni che fanno esplicito uso del protocollo.
Nonostante le dichiarazioni, però, anche la Mela in passato ha avuto problemi con il protocollo SSL, sebbene con implementazioni diverse dal caso odierno. Non molte settimane fa, infatti, è emerso come le prime versioni di iOS 7 e di OS X Mavericks fossero affette da una falla che avrebbe permesso a malintenzionati di sfruttare i pacchetti SSL/TLS per intercettare tutte le comunicazioni dell’utente, un vero e proprio pericolo per la privacy. Fortunatamente Apple ha gestito in modo fulmineo l’urgenza, rilasciando dei provvidenziali aggiornamenti sia per il sistema operativo desktop che per l’environment mobile.