Come d’abitudine, durante la conferenza World Wide Developers della scorsa settimana, Apple ha rivelato alcune informazioni sul suo nuovo sistema operativo. L’azienda di Cupertino ha definito iOS 8 “il sistema operativo mobile più avanzato del mondo”. Questa affermazione è piuttosto discutibile, sebbene bisogna ammetere che la piattaforma include ottime funzionalità di sicurezza e privacy, cosí come una riorganizzazione dell’ambiente di sviluppo delle applicazioni dedicate alla sicurezza e alla privacy.
Il cambiamento principale che inciderà su sicurezza e privacy è probabilmente quello meno evidente: media access control (MAC) address randomization. Gli indirizzi MAC sono degli identificatori unici, ampiamente utilizzati per tracciare i dispositivi e rilevare il comportamento degli utenti all’interno delle reti wireless. I commercianti cercano sempre di tracciare gli indirizzi MAC per conoscere le abitudini e i comportamenti dei loro clienti mentre si collegano e interagiscono all’interno di reti wireless pubbliche.
L’aspetto problematico riguarda il fatto che gli utenti non sono al corrente del fatto che li stiano tracciando, il che significa che probabilmente non hanno dato il consenso o, per lo meno, non nella forma tradizionale.
Con iOS 8, quando gli iDevices si collegano alle reti wireless, genereranno indirizzi MAC random, ovvero casuali. In questo modo sarà impossibile per i commercianti tracciare i movimenti in-store dei clienti o altri tipi di comportamenti. MAC address randomization è un grande passo in avanti in quanto a privacy, un grande aiuto per tutti i fan Apple che non si erano accorti di quello che stava succedendo.
MAC address randomization è un grande passo in avanti in quanto a privacy e un grande aiuto per tutti i fan Apple che non si erano accorti di quello che stava succedendo.
Tweet
Un altro upgrade in quanto a sicurezza e privacy, è quello che permetterà agli utenti di stabilire DuckDuckGo come motore di ricerca predefinito su Safari. DuckDuckGo è un motore di ricerca alternativo che non raccoglie le informazioni degli utenti e si basa sulle Query di ricerca. Inoltre, quando possibile, DuckDuckGo si assicura che gli utenti interagiscano con i siti web in forma sicura, via connession HTTPS. Le ricerche su DuckDuckGo sono organiche, in un certo senso, perché le Query non sono calcolate in base agli interessi degli utenti come spesso accade con molti altri motori di ricerca.
Naturalmente, la nuova versione include anche un sacco di funzionalità più “appariscenti” e “utili”, in un certo senso. Le foto, per esempio, saranno condivise tra tutti i dispositivi connessi, e gli utenti saranno in grado di aggiungere facilmente messaggi vocali a quelli di testo (forse il futuro della telefonia mobile). Inoltre, l’azienda sta promuovendo una nuova interfaccia notifiche più pulita. Naturalmente, dal punto di vista della privacy e della sicurezza, la condivisione delle foto tra i dispositivi potrebbe rappresentare un problema.
Comunque sia, alcune delle nuove funzionalità di cui è dotata la tastiera, insieme a Family Sharing, una migliore integrazione con iCloud e alla nuova ambizione della piattaforma (sviluppare un ambiente di sviluppo per le applicazioni più aperto) potrebbe avere serie implicazioni.
L’azienda sta promuovendo altresì il suo nuovo pacchetto di sviluppo per applicazioni (SDK – software developer kit), a quanto pare uno dei più grandi mai disegnati dal lancio iniziale dell’App Store, con più di 4.000 API (application programming interface). Se abbiamo compreso pienamente il loro comunicato stampa, questi cambiamenti, se associati ad un nuovo linguaggio di programmazione, renderanno probabilmente l’App Store un sistema più aperto, con un’atmosfera che ricorda quella di Google Play (la politica di base di Apple comunque non è cambiata). Da un lato, tutto questo significa più applicazioni; dall’altro, significa maggiore esposizione alle minacce il che potrebbe rappresentare un rischio per gli utenti in base a come Apple gestisca la sicurezza nel nuovo ambiente.
Uno dei nuovi pacchetti di sviluppo che hanno richiamato la nostra attenzione è “HeathKit”. Questo permetterà agli sviluppatori di costruire app per la salute e il fitness che funzionino meglio e che possano comunicare meglio l’una con l’altra, condividendo diverse informazioni sugli utenti dalla loro routine fino alla pressione sanguigna. Ultimamente stiamo assistendo a un boom delle app per il fitness e la salute. Tuttavia, ci ha colpito molto il report pubblicato dalla United States Federal Trade Commission dove si avvisa gli utenti che queste app sono un po’ ingannevoli per quanto riguarda la condivisione delle informazioni degli utenti. Se diamo a queste app l’autorizzazione a condividere i dati tra di loro (anche nel caso gli utenti glielo permettano, ed è così nella gran parte dei casi) non si risolve il problema. Ad essere onesti, se condividere dati personali implica che l’utente faccia più sport, forse è un prezzo che si può pagare.
HomeKit è un’altra di queste API. Permetterà agli sviluppatori di costruire applicazioni più interattive, che possano stare al passo con la “connettività sempre più diffusa”, nonché con le moderne “smart home”. Se ogni tanto leggete Kaspersky Daily, sia che siate tra i nostri lettori più fedeli oppure no, saprete sicuramente che i sistemi automatizzati delle “smart home” e la sicurezza IT non vanno molto d’accordo. Secondo Apple, invece, pare che la loro tecnologia sarà sicura anche se usata in concomitanza con questi nuovi sistemi intelligenti. Tuttavia, è difficile poter dire quanto sia sicura una nuova tecnologia prima che venga lanciata nel mercato.
Nel complesso, questa nuova versione appare rivoluzionaria, molto diversa dall’ambiente di sviluppo già esistente. Tutto questo è abbastanza eccitante dato che significa nuove app innovative, tastiera sviluppate da aziende terze, widgets, ecc. Tuttavia, allo stesso tempo, questi cambiamenti possono spaventare perchè l’innovazione porta sempre con sé una componente rischiosa e indirettamente la possibilità di un attacco. Come ho affermato in precedenza, se il nuovo App Store si apre al mercato e inizia a assomigliare un po’ al Market di Android, è probabile che osserveremo l’avanzata di nuove applicazioni dannose.
Se volete saperne di più sul modo in cui queste novità influenzeranno il campo della sicurezza informatica, in particolare rispetto ad Android, controllate la seconda pagina del dettagliato articolo di Andrew Cunningham, pubblicato su Ars Technica.
Oltre agli argomenti che abbiamo già trattato, con la nuova tastiera “potrete visualizzare una scelta di parole o di frasi che potete utilizzare, frasi che si basano su precedenti conversazioni e stili di scrittura”. Inoltre, “iOS 8 prende in considerazione lo stile informale che potreste aver utilizzato durante la redazione dei messaggi di testo e il linguaggio più formale utilizzato nelle mail, ed è capace di adattarsi in base alla persona con cui state comunicando, perché il linguaggio e la scelta delle parole differirà nel caso stiate parlando con un amico o scrivendo al vostro capo”.
Oltre agli aspetti positivi va anche detto che Apple potrebbe riuscire a ottenere molte più informazioni su di voi, il che significa un passo indietro in quanto a privacy. iCloud disporrà di una maggiore capacità di file storage, perciò potrete immagazzinare molti più dati personali rispetto a prima. Per questa ragione sarà sempre più importante saper abilitare le funzionalità di sicurezza offerte dal servizio. Tuttavia, questo significa anche che bisognerà realizzare frequenti backup e proteggere con maggior attenzione i dati sensibili.
Infine, la nuova funzionalità Family Share darà agli utenti la possibilità di sincronizzare i dispositivi con quelli di altre persone che sono state stabilite come membro della famiglia. Oltre ai rischi più evidenti e a una maggiore necessità di Parental Control, queste novità aprono strada a nuovi attacchi (non dissimili ai recenti attacchi in cui i criminali avevano forzato l’acceso iCloud per bloccare i dispositivi). Non ci resta che vedere se i criminali saranno in grado di infiltrarsi come membri della famiglia per tenere sotto controllo il comportamento degli utenti e rubare i dati del dispositivo.