I responsabili di Apple hanno nei giorni scorsi deciso di escludere dall’App Store due applicazioni realizzate e pubblicate da Facebook e Google: entrambe violavano le policy destinate agli sviluppatori definite dalla Mela.
Con il consenso degli utenti che hanno scelto di partecipare al programma di ricerca voluti dai vertici di Facebook, l’app Facebook Research – una volta installata – provvedeva a tracciare tutte le attività degli utenti, comprese quelle personali. Sul dispositivo veniva infatti attivata una connessione VPN e installato un certificato root per trasferire in chiaro tutti i dati dell’utente, comprese foto, messaggi, email, dati inseriti nei siti web HTTPS e così via: Facebook Research raccoglieva i dati personali dagli smartphone degli utenti per 20 dollari.
Facebook ha dichiarato che la partecipazione al programma di ricerca era del tutto facoltativa e che gli utenti, di età compresa tra 13 e 35 anni, hanno ricevuto un piccolo premio da 20 dollari sotto forma di buono acquisto. Mentre i responsabili del social network negano, alcuni riferiscono che nel caso dei minori la richiesta del conferimento dell’autorizzazione genitoriale non veniva sempre richiesta.
Perché Apple ha escluso l’app di Facebook? Nel 2013 Facebook acquisì Onavo, un’applicazione che offriva le funzionalità proprie di un servizio VPN ma che anch’essa violava le policy Apple. Onavo, infatti, utilizzava la pratica del sideloading: senza effettuare il jailbreaking dei dispositivi Apple provocava il download, il caricamento e l’esecuzione di codice all’infuori dell’App Store, cosa esplicitamente vietata dalla Mela.
Per eseguire codice non ancora pubblicato sull’App Store, Apple concede agli sviluppatori l’utilizzo di uno speciale certificato digitale che però può essere adoperato solo in fase di programmazione (ad esempio per provare versioni alpha e beta delle proprie applicazioni) oppure per accedere ad applicazioni aziendali create e impiegate all’interno della propria organizzazione.
Apple ha ben chiarito che tale certificato non può essere utilizzato per finalità diverse rispetto a quelle fissate nella sua policy per gli sviluppatori. Nonostante ciò, esattamente come faceva l’app Onavo, i tecnici di Facebook hanno usato il certificato nell’ambito di Facebook Research.
La Mela ha così deciso di revocare il certificato utilizzato internamente dai programmatori di Facebook bloccando il funzionamento dell’app Facebook Research ma anche di molte altre applicazioni (non quelle pubblicate sull’App Store) usate dal social network entro i confini dell’azienda.
Da parte sua, Google aveva pubblicato sullo store di Apple un’app dal comportamento molto simile: Screenwise Meter. Anche in questo caso si trattava di un programma di ricerca su partecipazione volontaria (bisognava dichiarare di avere almeno 18 anni per ricevere un buono sconto da 20 dollari) che utilizzava metodi molto simili all’app Facebook Research.
Anche in questo caso Apple ha deciso di usare la sua scure bloccando il certificato usato da Google. L’azienda di Mountain View si è di fatto scusata per il problema sostenendo che l’applicazione Screenwise Meter non avrebbe dovuto essere distribuita come è stato fatto.
Quanto accaduto è l’ennesima riprova di come Apple abbia il totale controllo sulle app pubblicate e su ciò che gira all’interno della sua piattaforma. Il walled garden che Apple ha costruito è certamente efficace ma comunque non perfetto se anche sviluppatori del calibro di Facebook e Google possono effettuare il sideloading di codice arbitrario prima che la Mela se ne accorga.
“What happens on your iPhone, stays on your iPhone” ovvero “ciò che succede sul vostro iPhone rimane nel vostro iPhone” è lo slogan che in occasione del CES 2019 Apple aveva fatto apporre – sotto forma di enorme manifesto pubblicitario – sulla facciata di un noto hotel.