Ieri ci siamo lasciati con un interrogativo molto interessante circa l’assenza della crittografia sul kernel di iOS 10 in versione beta: a distanza di poche ore, torniamo sull’argomento, riportando una comunicazione che Cupertino ha rilasciato al riguardo. L’azienda di Tim Cook, nella sua risposta ai quesiti dei dev che hanno scoperto l’assenza di protezione al kernel, ha illustrato le ragioni alla base di una scelta che non ha precedenti per Apple.
La conferma della scelta di non aver voluto crittografare il kernel è stata data da TechCrunch, che ha riportato ai suoi lettori la nota comunicata dal colosso statunitense: Cupertino spiega che, all’interno della cache del kernel, non sono raccolte informazioni riguardanti l’utente particolarmente degne di protezione. Rimuovendo la crittografia – continua l’azienda di Tim Cook – è possibile incrementare le prestazioni senza mettere a rischio la sicurezza.
Considerando il ruolo del kernel – che è deputato a gestire per esempio la sicurezza o l’interazione delle app con l’hardware del device – i developer possono, attraverso i test su iOS 10 beta, scovare eventuali problemi di sicurezza che dovessero essere presenti, ma al tempo stesso, sviluppatori con intenzioni di tutt’altro genere, potrebbero individuare in queste vulnerabilità una risorsa per mettere in atto i loro piani criminosi.
Anche Jonathan Zdziarski – un esperto di sicurezza – si è voluto esprimere al riguardo di questa curiosa (e inedita) scelta compiuta da Cupertino, mettendola in relazione con la vicenda che ha visto contrapposta Apple con l’FBI, quando quest’ultimo ha chiesto all’azienda di Tim Cook di poter forzare l’accesso al Melafonino dell’attentatore di San Bernardino, per prendere cognizione dei dati personali dell’utente contenuti.
L’ente investigativo statunitense – di fronte al diniego di Cupertino – si è poi rivolto a terze parti per trovare il modo di sfruttare le vulnerabilità di iOS: grazie all’aiuto di developer capaci di individuare falle nella crittografia, è anche riuscito ad aver accesso al dispositivo.
La scelta di Apple – sempre per Zdziarski – sarebbe quindi da inquadrare in questo contesto, e mirerebbe a ridimensionare il mercato di questi sviluppatori che si mettono al servizio degli investigatori per trovare i punti vulnerabili dei software altrui e, quindi, permettere di introdursi nei device, rendendo anche più sicuri i futuri Melafonini.