Apple ha ufficialmente negato di aver creato backdoor in iOS a uso e consumo delle autorità statunitensi. Quelle scoperte da Jonathan Zdziarski sarebbero semplici strumenti dedicati al personale IT delle aziende e alla risoluzione di problemi tecnici.
"Un utente deve sbloccare il dispositivo e autorizzare un computer
affinché esso possa accedere a questi limitati dati diagnostici", si
legge nella nota inviata dai PR di Apple. "L'utente
deve consentire che tali informazioni siano condivise. Come abbiamo
detto in passato, Apple non ha mai lavorato con alcuna agenzia
governativa di alcun paese per creare backdoor in nessuno dei nostri
prodotti o servizi".
Zdziarski ha risposto a stretto giro di posta,
rilevando l'ammissione di Apple: "hanno davvero delle backdoor, anche
se affermano che servono per la diagnostica e gli specialisti IT". Lo
specialista ricorda poi che i servizi in questione estraggono dati e aggirano la protezione crittografica, anche se l'utente ha disabilitato l'invio ad Apple di dati diagnostici.
"Se questi servizi fossero nati per tali scopi, sarebbe normale
pensare che funzionino solo se il dispositivo è gestito/supervisionato o
se l'utente ha abilitato la modalità diagnostica. Sfortunatamente non è
questo il caso, e non c'è modo di disabilitare il meccanismo. Il risultato è
che queste funzioni sono abilitate su ogni dispositivo e non si possono disattivare, né all'utente si richiede il consenso per spedire all'esterno questi dati personali", continua Zdziarski.
"Ciò rende molto più difficile credere che Apple stia dicendo la verità",
aggiunge il ricercatore. Zdziarski ricorda poi che, anche ammettendo la
buona fede di Apple, ci sono sempre le operazioni della NSA, o il fatto
che impossessandosi di un computer - o sequestrandolo - si ottiene
accesso ai dati di backup anche se crittografati. "I registri di pairing
si possono rubare in tanti modi diversi […]. Solo di recente Apple ha
aggiunto una finestra di dialogo per autorizzare un computer; prima di
questo l'abbinamento sarebbe stato automatico".
Zdziarski conclude poi affermando che "capisco che ogni OS ha funzioni diagnostiche, ma questi servizi infrangono la promessa fatta da Apple
al consumatore che decide di usare una password. […]. Semplicemente non
c'è modo di giustificare l'enorme fuoriuscita di dati generata da
questi servizi, per di più senza alcun consenso esplicito da parte
dell'utente".
La conclusione non può che essere un terribile j'accuse: "non credo per niente che questi servizi abbiano solo scopi diagnostici.
I dati estratti sono troppo personali. L'utente non è informato. Un
vero strumento diagnostico sarebbe stato sviluppato nel rispetto
dell'utente, lo avrebbe avvisato come fanno le applicazioni e avrebbe
rispettato la crittografia del backup. Che senso ha promettere la
crittografia se poi c'è una password che la aggira?".
Non serve leggere tra le righe per capire che Zdziarski conferma la propria ipotesi iniziale: per lui queste backdoor sono strumenti usati per lo spionaggio governativo.
Il danno collaterale è che anche qualcun altro potrebbe trovare il modo
di usarle. Fidarsi della risposta ufficiale di Apple è possibile?
Fonte
Come al solito, conclusioni ridicole, ma la notizia resta.
Nessun commento:
Posta un commento