Una piccola tempesta si agita dallo scorso sabato attorno ai sistemi operativi Apple: una vulnerabilità individuata nella gestione del protocollo SSL che interessa sia il panorama mobile che quello desktop ha messo in luce una grave carenza di sicurezza, che spalancherebbe le porte agli attacchi ai danni degli utenti della Mela. Apple ha già rilasciato una patch per iOS, manca quella per OSX: il problema vero è che non si sa esattamente da quanto il buco fosse presente nel codice scritto a Cupertino, dando adito a teorie secondo cui si tratterebbe di una backdoor lasciata aperta per consentire le intercettazioni.
La vulnerabilità, già ribattezzata “gotofail” a causa del problema mostrato nel codice sorgente, di fatto annulla le garanzie offerte dal protocollo SSL : invece che verificare l’autenticità dei certificati forniti da un servizio o da un sito per la connessione cifrata, i sistemi operativi Apple per un mero errore di programmazione saltavano (e nel caso di OSX lo fanno ancora) completamente il passaggio fondamentale a garantire l’effettiva sicurezza delle trasmissioni. Safari, ma anche iMessage, FaceTime e tutte le altre applicazioni prodotte da Apple e non, che fanno uso del framework SecureTransport del sistema operativo ne sono affette: non ci sono accorgimenti che tengano , per quanto si possa fare caso a quali certificati si utilizzano mancando la verifica finale della firma digitale tutto sembrerà a posto, ma niente sarà realmente ok.
Here are some of the apps which rely on the vulnerable Apple #gotofail SSL library beyond Safari /cc @a_greenberg pic.twitter.com/ombDOOa01A
— ashkan soltani (@ashk4n) 23 Febbraio 2014
Un’apertura di credito non da poco ai potenziali attaccanti che, sfruttando una posizione vantaggiosa in Rete, possano mettere in atto un attacco “man in the middle”: alterando il contenuto delle comunicazioni, registrando il contenuto delle stesse . Un errore talmente marchiano da risultare quasi sospetto: ma chi si occupa di queste materie per lavoro, come il googler Adam Langley , sottolinea come si tratta di un errore non rilevabile facilmente tramite il testing e che passa facilmente inosservato durante la compilazione. Addirittura c’è chi si spinge ad affermare che dimostri anche la scarsa efficacia dell’open-source: se è vero che effettivamente il codice sorgente era pubblico e noto , è altrettanto vero che la peculiarità dell’errore e la sua scarsa visibilità (si tratta di una semplice riga ripetuta per errore) ne facevano davvero un cliente difficile da gestire.
Apple ha confermato il problema, e già rilasciato apposite patch per iOS 7 , iOS 6 e Apple TV : su OSX sta ancora lavorando , e dovrebbe essere rilasciato l’aggiornamento nelle prossime ore per far fronte a quello che è davvero uno svarione non da poco. Per il sistema operativo desktop i test indicano che dovrebbero essere coinvolti i Mac aggiornati a Maverick, mentre non è del tutto chiaro se andando indietro nel tempo a Mountain Lion e altri felini la questione sia altrettanto seria. Sta di fatto che ormai il vaso di Pandora è stato scoperchiato, e dunque Apple ha tutto a risolvere la faccenda anche sui suoi PC quanto prima .
Luca Annunziata