Apple ha polemizzato con il team di Project Zero (Google). Pietra dello scandalo è la nota che gli esperti di sicurezza hanno pubblicato sul web a proposito della scoperta di cinque lacune di sicurezza, utilizzate al fine di prendere di mira una ristretta cerchia di utenti: I cinque bug di sicurezza di iOS sono stati usati per ben due anni. Aggrediti anche Android e Windows.
La Mela, in un comunicato ufficiale dai toni piuttosti “piccati”, spiega che a suo modo di vedere il problema sarebbe stato descritto da Project Zero in maniera scorretta: non si tratta di un exploit “di massa” attivamente utilizzato, in precedenza, per monitorare e aggredire un vasto numero di dispositivi iOS. “L’attacco è stato sferrato usando meno di una dozzina di siti web che offrono contenuti relativi alla comunità uigura. Indipendentemente dall’entità dell’attacco, prendiamo molto seriamente la sicurezza di tutti gli utenti“, ha commentato Apple. “Il post di Google, pubblicato sei mesi dopo il rilascio delle patch per iOS, ingenera negli utenti la falsa impressione che vi sia un problema sfruttabile per avanzare attacchi di massa e monitorare le attività private di intere popolazioni in tempo reale alimentando la paura tra i possessori di iPhone“.
I vertici di Apple contestano anche la durata dell’attacco scoperto da Project Zero: secondo l’azienda guidata da Tim Cook, alcuni soggetti della comunità uigura sarebbero stati preso di mira al massimo per due mesi e non per due anni come indicato dal team di Google.
“Abbiamo risolto le vulnerabilità in questione nel mese di febbraio 2019 lavorando molto rapidamente per risolvere il problema appena 10 giorni dopo esserne venuti a conoscenza. Quando Google ci ha contattati eravamo già in procinto di risolvere i bug“, puntualizza ancora la nota di Apple.
Le critiche rispetto al contenuto del comunicato non sono però mancate: da più parti si fa notare come l’azienda di Cook invece che stigmatizzare un’aggressione perpetrata nei confronti di una minoranza etnica e religiosa da tempo bersaglio di azioni repressive abbia preferito limitarsi a gettare acqua sul fuoco chiarendo che per la maggior parte degli utenti di iOS non si sono mai verificati problemi e non vi sono stati rischi di attacco.
Per quanto riguarda le tempistiche, da più parti si fa presente che non vi sarebbero dati certi che consentano di definire la data di fine delle aggressioni. Certo è, però, che l’esistenza delle falle di sicurezza – acclarata e palese, seppur i bug siano stati usati per bersagliare un numero di soggetti limitato – era nota agli aggressori e lo è stata, appunto, all’incirca per un biennio.
Da parte sua Google ha preferito non alimentare la polemica limitandosi a fare presente che “il team di Project Zero pubblica ricerche e analisi tecniche aventi come obiettivo quello di aumentare il livello di comprensione sulle vulnerabilità di sicurezza in modo da portare all’adozione di migliori strategie difensive. La nostra dettagliata ricerca è stata approntata proprio al fine di focalizzarsi sugli aspetti tecnici di queste vulnerabilità. Continueremo a lavorare con Apple e con altre aziende leader per aiutare a garantire la sicurezza dei dati“.
Un’occasione mancata per Apple, questa volta. L’occasione di ammettere l’esistenza di un problema, di essersi adoperata per risolverlo in tempi brevi (come peraltro è stato fatto), di tendere una mano a una comunità troppo spesso oggetto di soprusi, di ringraziare i ricercatori e spiegare le mosse future per preservare la sicurezza degli utenti-clienti.