Non c’è cattivo più cattivo di un buono quando diventa cattivo. La citazione da un noto film interpretato da Bud Spencer calza a pennello se prendiamo in esame quanto accaduto negli ultimi mesi a un volenteroso ricercatore indipendente.
Com’è noto le principali aziende prevedono programmi Bug Bounty: per evitare che eventuali falle di sicurezza nei loro prodotti vengano sfruttate dai criminali informatici una volta diventata di dominio pubblico, le società offrono premi in denaro per coloro che, responsabilmente, scoprono nuove vulnerabilità e le segnalano in privato dando così tempo agli sviluppatori per procedere con la loro risoluzione.
È un meccanismo virtuoso che si basa sul rapporto di fiducia tra l’azienda e il ricercatore esperto di sicurezza. A seconda della gravità della problematica scoperta, una volta concluse le verifiche del caso, questi riceve un importo variabile e il suo nome viene citato nei credit.
Un ricercatore ha segnalato ad Apple tra marzo e maggio scorsi ben quattro vulnerabilità di sicurezza in iOS.
Con il rilascio di iOS 14.7 la Mela ha risolto uno dei quattro bug senza però né premiare il ricercatore né inviargli alcuna somma di denaro. Le altre tre vulnerabilità, invece, sono rimaste irrisolte anche dopo il rilascio di iOS 15.
Così il ricercatore, dopo aver lasciato passare molto più tempo rispetto ai classici 90 giorni che vengono lasciati agli sviluppatori per risolvere le problematiche di sicurezza, ha contattato Apple chiedendo ragione del suo comportamento. Dalla società guidata da Tim Cook si sono scusati e hanno fatto sapere che avrebbero rimediato alle “dimenticanze” a stretto giro.
Dal momento che ciò non è avvenuto il ricercatore ha perso la pazienza e ha pubblicato i codici exploit che permettono di aggredire i quattro bug di iOS.
Nella sua analisi dei fatti ha spiegato che la misura è colma e che non è il primo a lamentarsi delle modalità con cui viene gestito il programma Apple Security Bounty.
Tra l’altro le restanti tre vulnerabilità che Apple deve ancora sanare non sono propriamente “all’acqua di rose”: una consente a un’applicazione installata tramite App Store di sottrarre dati personali dell’utente iOS, compresi token di autenticazione, qualunque risorsa locale gestita da app di messaggistica, email, rubriche e così via.
Le altre due lacune di sicurezza permettono di stabilire se un’applicazione sia installata e raccogliere tutte le informazioni sulla connessione WiFi in uso.