A lanciare l’allarme era stato un filmato apparso tra le pagine di Over Security , blog italiano specializzato in sicurezza informatica. Poco più di 6 minuti per dimostrare come fosse possibile leggere gratis le edizioni elettroniche dei più svariati quotidiani del Belpaese, aggirando le metodologie di acquisto in-app previste da Apple su iPad o altri dispositivi basati su iOS .
Una dimostrazione piuttosto eloquente – datata 27 novembre 2010 – realizzata dall’esperto Andrea Draghetti per incentivare gli sviluppatori a migliorare le loro applicazioni, progettando “con maggiore accuratezza le infrastrutture di Rete”. Allo scopo di tutelare gli ovvi interessi dei vari editori, lo stesso Draghetti aveva deciso di non mostrare al pubblico l’intera procedura per l’aggiramento dei meccanismi noti come in-app purchase .
“La procedura affligge i principali quotidiani e riviste – ha ora spiegato Draghetti in un recente intervento sul blog Over Security – I soggetti interessati nella full disclosure sono stati preventivamente informati tramite email, tramite i canali online del settore Apple e sui loro canali Twitter”. L’esperto ha infatti rivelato nel dettaglio la procedura da lui stesso adottata per leggere gratuitamente le versioni digitali di La Repubblica o del Corriere della Sera .
“Dopo un’attenta analisi dei pacchetti di rete ricevuti ed inviati ( packet sniffer ) da ogni singola applicazione è possibile determinare la fonte dei quotidiani o riviste – ha spiegato l’esperto nel suo intervento – successivamente è possibile accedere direttamente da Safari o da qualsiasi altro browser al contenuto desiderato, digitando un semplice indirizzo web, evitando il pagamento tramite in-app purchase del contributo richiesto dall’editore”.
Come noto, le pagine dei quotidiani per iPad sono generalmente in formato PDF, spesso non adeguatamente protette con una password a livello di URL. “Per aggirare il pagamento dovremmo pertanto risalire all’URL del nostro contenuto e accederci direttamente da Safari o da un comune browser”, ha aggiunto Draghetti. Quasi una ventina i quotidiani affetti dalla vulnerabilità, tra cui la Gazzetta dello Sport e Il Messaggero .
“La vulnerabilità può essere utilizzata ricorsivamente senza interagire giornalmente con il PC – ha aggiunto l’esperto – in quando vedremo che gli URL utilizzati sono sempre i medesimi con l’unica differenza che cambia la data in esso contenuta. Basterà sostituire ANNO , MESE , GIORNO con i valori interessati per ottenere il quotidiano desiderato, senza l’ausilio di alcun software Proxy o Sniffer”.
Sul blog Over Security è dunque stata pubblicata una serie di link che permettono la visualizzazione gratuita delle edizioni digitali per iPad. Pare che i gruppi editoriali in questione abbiano subito provveduto a risolvere la falla, dal momento che molti dei collegamenti proposti da Over Security rimandano a messaggi d’errore o di blocco. Di certo un sistema con le URL in chiaro è meno tecnologico di quanto ci si potrebbe attendere da un paywall dell’anno domini 2011.
Mauro Vecchio