Il bug di sicurezza che Apple ha negli ultimi giorno corretto con il rilascio di iOS 7.0.6, a cui si aggiungerà presto una versione per OS X, potrebbe essere molto più grave di quanto ipotizzato. Grazie all’opera di un ricercatore indipendente, infatti, si apprende come i rischi siano estesi a un nugolo di applicazioni di largo consumo su Mac. E c’è chi già grida al complotto: è tutta colpa della NSA.
La falla scovata da Apple, e già ribattezzata “Gotofail”, affligge le connessioni SSL che potrebbero essere intercettate da remoto, per scovare password, comunicazioni private, estremi di carta di credito e qualsiasi altro dato sensibile dell’utente. La mela ha già provveduto a fornire un upgrade per iOS 7, completamente risolutivo della problematica, e si appresta a rilasciare nelle prossime ore un aggiornamento per OS X Mavericks, così come annunciato ieri. Lo sviluppatore e ricercatore di sicurezza Ashkan Soltani, tuttavia, ha svelato come siano tantissime le applicazioni coinvolte dal bug, soprattutto in ambiente desktop.
Calendario, FaceTime, Mail, Keynote, Twitter, iBooks, iMessage sono solo alcuni dei software che sarebbero coinvolti. E sebbene la Mela abbia promesso di intervenire tempestivamente, sul Web scoppia lo scandalo – meglio, una vera e propria teoria del complotto – sul ruolo della NSA. Come ormai noto, pare che gran parte delle attività di spionaggio dell’agenzia avvenisse sfruttando le tecniche di “man in the middle”, ovvero di un passaggio intermedio fra le comunicazione di Rete per monitorare gli utenti. Come è facile capire, il bug scovato da Apple ben si presta – almeno a livello teorico – a questo tipo di attività, soprattutto perché l’handshake criptato TLS è particolarmente vulnerabile a simili attacchi. Forse a causa di una frase sibillina dello stesso Soltani, il quale sottolinea come questa falla possa essere sfruttata per violazioni in stile NSA, è montata velocemente l’accusa: Cupertino sta collaborando di proposito con l’agenzia federale statunitense? Il Los Angeles Times parla apertamente di “NSA cospiracy”, di un complotto, mentre la redazione oltreoceano di Wired scrive:
«Questo bug essenzialmente significa che, mentre scrivi una mail, un tweet, usi Facebook o controlli il tuo conto bancario su un network condiviso, come una rete WiFi pubblica o qualsiasi altra rete monitorata dalla NSA, un malintenzionato potrebbe essere in ascolto o potrebbe maliziosamente modificare quello che c’è sul tuo iPhone o iPad.»
Come ogni teoria del complotto che si rispetti, però, si tende a far i conti senza l’oste, arrivando a conclusioni affrettate. Se vi fosse davvero questa “cospirazione della NSA”, per quale motivo Apple sarebbe corsa ai ripari in fretta e furia non appena scovato il bug? Se volesse violare la privacy dei suoi utenti, non avrebbe corretto la falla, nella speranza che nessun developer indipendente se ne accorgesse. In definitiva, l’errore di Cupertino sui suoi sistemi operativi è grave, ma dalla svista alla mancanza deliberata il passo è evidentemente più lungo della gamba.