iOS è stato una fortezza praticamente impenetrabile per tutti i 17 anni della sua esistenza. Gli utenti avevano accesso alle app e alle funzioni solo se Apple glielo consentiva. Tuttavia, ora l’azienda statunitense ha dovuto cedere alle pressioni del mercato e delle normative modificando lo status quo. A partire dal 6 marzo, con l’entrata in vigore del Digital Markets Act (DMA) dell’UE, la nuova versione del sistema iOS (17.4) consente l’installazione sugli iPhone di marketplace alternativi e browser di terze parti, ma solo per gli utenti dell’Unione Europea. Allo stesso tempo, alcune funzionalità familiari, come le PWA (Progressive Web App) in esecuzione nel browser e aggiunte come icone alla schermata iniziale, scompariranno. Quali nuove funzionalità e minacce devono aspettarsi gli utenti?
Come installare un app store alternativo
Per garantire una concorrenza leale, le autorità di regolamentazione hanno richiesto ad Apple di consentire i marketplace di app di terze parti sugli iPhone. L’utente potrà visitare il sito Web di un’app store alternativo, toccare Installa (ovvero installare l’app dell’app store) e, dopo aver confermato esplicitamente l’operazione, installare l’app dell’app store nel dispositivo. Questi app store alternativi potranno essere utilizzati in sostituzione o insieme all’App Store di Apple.
Non è tuttavia ancora chiaro cosa conterranno e chi potrebbe avere interesse ad aprirne uno. Quello che conta è che a questi store non sarà richiesto di osservare tutte le regole di Apple. Possiamo quindi presumere che offriranno servizi e tecnologie precedentemente limitati da Apple, in particolare i pagamenti al di fuori dell’App Store. Epic Games, uno dei principali lobbisti dietro la causa legale insieme a Spotify, intende probabilmente aprire un marketplace di app, anche se l’ultimo episodio del tiro alla fune tra Apple ed Epic Games suggerisce che potrebbe volerci ancora molto tempo.
È importante sottolineare che Apple sembra intenzionata a prevenire l’anarchia: per registrare un marketplace di app, un creatore deve superare lo screening e fornire a titolo di cauzione una lettera di credito standby di 1 milione di euro. È vietato caricare versioni diverse della stessa app sia nell’App Store che negli store alternativi: se uno sviluppatore vuole pubblicare la propria app in tutti gli store, deve essere identica. Infine, tutte le applicazioni dovranno essere “autenticate” da Apple. Se il processo si rivelerà identico all’autenticazione per macOS, anziché un’analisi manuale, è probabile che Apple esegua una scansione automatica alla ricerca di malware e controlli la conformità rispetto ad alcune indicazioni tecniche.
Implicazioni per la sicurezza: iOS vedrà più malware. In parte, Apple continuerà a regolamentare l’installazione di app di terze parti: non sarà possibile semplicemente toccare un pulsante nelle impostazioni e installare un’app sconosciuta da un sito Web losco come è possibile su Android. Detto questo, il processo di scansione automatizzato progettato dagli ingegneri di Cupertino per i marketplace di app di terze parti sarà ancora più facile da ingannare rispetto ai moderatori umani dell’App Store. Ciò significa che probabilmente la quantità e la varietà di malware su iOS aumenterà.
Oltre al malware vero e proprio, Apple è ragionevolmente preoccupata per il rischio ancora più grave della comparsa di app con contenuti truffa e schemi di pagamento non trasparenti. Problemi di questo tipo non possono essere rilevati con la scansione automatica.
Sfortunatamente, le nuove regole non fanno nulla per portare soluzioni anti-virus e di sicurezza a livello di sistema operativo in stile Android su iOS, poiché a quest’ultimo mancano ancora le funzionalità richieste a tale scopo. È pertanto consigliabile prestare molta attenzione prima di installare app store di terze parti ed eseguire download. Installare un marketplace creato da una grande azienda per ottenere un famoso gioco con decine di milioni di download non dovrebbe comportare problemi. Tuttavia, il consiglio di rimanere vigili che abbiamo dato in precedenza agli utenti Android ora diventa rilevante anche per gli utenti di iOS europei. Ricordiamo che lo scorso anno i download di malware da Google Play hanno superato i 600 milioni.
Implicazioni per la privacy: secondo Apple, verranno applicate restrizioni di tracciamento in-app alle app scaricate da store di terze parti. Tuttavia, i dettagli sulla privacy delle app, che gli sviluppatori compilano prima di caricare le loro app nell’App Store, potrebbero essere meno approfonditi o addirittura inesistenti in altri store online.
Implicazioni per le funzionalità Parental Control Sebbene i limiti per il tempo trascorso davanti allo schermo continueranno a funzionare con qualsiasi app, le restrizioni sugli acquisti familiari o in-game e le richieste di acquisto di app che richiedono la conferma dei genitori potrebbero funzionare in modo improprio o essere assenti nelle app scaricate da marketplace alternativi.
Browser di terze parti
I browser alternativi in iOS non sono una novità, ma prima dell’entrata in vigore del DMA erano semplicemente delle skin basate sul motore WebKit di Apple, che era l’unica opzione disponibile per la visualizzazione dei contenuti Web su iOS. Apple ora consentirà altri motori di ricerca, ma solo dopo aver superato una speciale procedura di certificazione. A dire il vero, la situazione del motore del browser su altre piattaforme non è migliore, con quasi tutti i browser “alternativi” basati sul codice Chromium (motore Blink) gestito da Google. Gecko di Mozilla, utilizzato in Firefox, detiene una quota di mercato notevole, ma le opzioni per i consumatori si fermano qui.
Sia Google che Mozilla si stanno preparando a lanciare Blink e Gecko su iOS, quindi è molto probabile che gli utenti dell’UE vedranno presto browser Firefox e Chrome completi. Quando aprono Safari per la prima volta (o una pagina Web da qualsiasi app), gli utenti nell’UE potranno scegliere un browser predefinito.
Implicazioni per la sicurezza: sono duplici, poiché ci aspettiamo alcuni miglioramenti della sicurezza in alcune aree e un peggioramento in altre. Oltre ai problemi noti di WebKit, ci saranno potenziali difetti sia in Firefox che in Chrome, e resta da vedere con che rapidità verranno risolti dai rispettivi sviluppatori. Tuttavia, entrambi hanno una solida reputazione nell’ambito della distribuzione di patch per le vulnerabilità. D’altra parte, le vulnerabilità zero-day nel software Apple, incluso WebKit, sono sempre state il vettore principale per gli attacchi agli iPhone tramite spyware, sia commerciali come Pegasus che mirati come Triangulation. Oggi gli sviluppatori dietro questi attacchi sanno per certo che le vittime utilizzano i browser Safari/WebKit. In futuro, la necessità di considerare varie opzioni per il browser renderà più difficile la progettazione e l’esecuzione di questi attacchi.
Implicazioni per la privacy: dipendono dal browser alternativo scelto. Se le controparti Windows e macOS possono essere indicative, il passaggio a Firefox probabilmente migliorerà il livello di privacy o lo manterrà ai livelli di Safari, mentre l’utilizzo di Chrome potrebbe ridurre la privacy, come suggerito dagli strumenti anti-tracciamento di questi browser e dalle impostazioni predefinite.
Impatto per le funzionalità Parental Control: non è ancora chiaro in che modo i browser alternativi proteggeranno i bambini dai contenuti indesiderati, ma sembra che il controllo sarà tecnicamente più difficile da configurare. Quindi, abbiamo dubbi sulla sua efficienza.
Una perdita notevole
Gli utenti europei hanno sia da guadagnare che da perdere dal DMA. Per quanto riguarda gli svantaggi, per implementare la funzionalità richiesta per i browser alternativi, Apple sta abbandonando completamente il supporto per le Progressive Web App nell’UE. Sebbene queste app siano essenzialmente pagine Web, sono difficili da distinguere dalle app a tutti gli effetti, poiché possono salvare contenuti nel dispositivo, inviare notifiche e comportarsi in modo molto simile. I negozi online, le riviste e i ristoranti di solito scelgono le PWA per le loro app. Tutte queste mini-app, che è possibile aggiungere molto facilmente alla schermata iniziale dell’iPhone, non funzioneranno più nell’UE con il prossimo aggiornamento di iOS. Non tutte le aziende che hanno sviluppato le proprie app come PWA avranno abbastanza tempo per adattarsi al cambiamento.
Disponibilità di browser e app di terze parti al di fuori dell’UE
Apple ha fatto di tutto per assicurarsi che la nuova funzionalità sia disponibile solo nella regione in cui è legalmente richiesta: l’Unione Europea. Solo gli utenti registrati in uno dei 27 stati membri dell’UE riceveranno gli aggiornamenti iOS 17.4 descritti in questo articolo. I residenti di altri paesi non saranno interessati dalle modifiche, quindi non sarà sufficiente attivare una VPN olandese o andare in vacanza a Cipro per ottenere gli aggiornamenti di iOS in questione. Inoltre, anche i residenti nell’UE che lasciano il territorio dell’Unione Europea per più di 30 giorni perderanno l’accesso agli aggiornamenti delle app dai marketplace di terze parti fino al loro ritorno.