Il produttore di iPhone invita chiunque a ispezionare da vicino la sua tecnologia anti abuso sui minori, ma allo stesso tempo denuncia chi sta portando avanti questo tipo di controlli.
di Patrick Howell O’Neill
Quando Apple ha annunciato una nuova tecnologia per controllare i contenuti sugli abusi sessuali su minori nel suo servizio iCloud statunitense, la sua proposta è stata accolta da feroci critiche per le preoccupazioni che la funzione potesse essere utilizzata dal governo per qualche forma di sorveglianza. Di fronte alla resistenza degli utenti, Apple ha insistito sul fatto che la sua tecnologia non espone a questo tipo di rischi.
“I ricercatori della sicurezza sono costantemente in grado di analizzare ciò che sta accadendo nel software del telefono di Apple”, ha affermato il vicepresidente dell’azienda Craig Federighi in un’intervista al “Wall Street Journal”. “Se sono state apportate modifiche per espandere la portata del controllo in un modo che ci eravamo impegnati a non fare, c’è verificabilità, possono individuare che sta accadendo”.
Il problema è che Apple sta facendo causa a un’azienda che produce software per consentire ai ricercatori della sicurezza di fare esattamente questo. Nel 2019, l’azienda ha intentato una causa contro Corellium, che è in grado di testare facilmente e in modo economico i dispositivi mobili emulando il loro software anziché richiedere loro di accedere ai dispositivi fisici. Il software, che emula anche i dispositivi Android, può essere utilizzato per risolvere questi problemi.
Nella causa, Apple ha sostenuto che Corellium ha violato i suoi diritti d’autore e ha consentito la vendita di exploit software utilizzati per l’hacking. La startup ha ribattuto dicendo che il suo uso del codice di Apple era un classico caso protetto di fair use. Finora il giudice si è schierato dalla parte di Corellium. Una prima sentenza della causa in corso da due anni è uscita la settimana scorsa, pochi giorni dopo che la notizia della tecnologia CSAM dell’azienda è diventata pubblica.
Da pochissimo, Corellium ha annunciato un finanziamento di 15.000 dollari per un programma per esaminare al microscopio gli iPhone. Subito dopo, Apple ha presentato un ricorso per portare avanti la causa. In un’intervista a “MIT Technology Review”, il direttore operativo di Corellium, Matt Tait, ha affermato che i commenti di Federighi non corrispondono alla realtà. “È scorretto fare certe affermazioni da parte di Apple. iOS è progettato in modo da rendere molto difficile per le persone eseguire l’ispezione dei servizi di sistema”.
Non è l’unico a contestare la posizione di Apple. “Questa azienda sta esagerando la capacità di un ricercatore di esaminare il sistema nel suo insieme”, afferma David Thiel, CTO dell’Osservatorio Internet di Stanford. Thiel, l’autore di un libro intitolato iOS Application Security, ha twittato che l’azienda spende molto per prevenire qualsiasi tipo di ricerca sul suo sistema.
La responsabilità della sorveglianza
Se si vuole vedere esattamente come funziona la complessa nuova tecnologia di Apple, non si può semplicemente guardare all’interno del sistema operativo dell’iPhone che si è appena acquistato nel negozio. L’approccio alla sicurezza del “giardino recintato” dell’azienda ha aiutato a risolvere alcuni problemi di fondo, ma significa anche che il telefono è progettato per impedire controlli.
(I telefoni Android sono fondamentalmente diversi. Mentre gli iPhone sono notoriamente bloccati, tutto ciò che si deve fare per sbloccare un Android è collegare un dispositivo USB, installare strumenti per sviluppatori e ottenere l’accesso root di primo livello). L’approccio di Apple significa che i ricercatori sono ingaggiati in una battaglia senza fine con l’azienda per cercare di ottenere il livello di conoscenza di cui hanno bisogno. Tuttavia, ci sono alcuni modi possibili in cui Apple e i ricercatori della sicurezza potrebbero verificare che nessun governo possa sfruttare la conoscenza delle nuove funzionalità di sicurezza anti abuso sui minori.
Apple potrebbe consegnare il codice per la revisione, anche se non è qualcosa che ha detto che farà. I ricercatori possono anche provare a decodificare la funzionalità in modo “statico”, ovvero senza eseguire i programmi effettivi in un ambiente live. Realisticamente, tuttavia, nessuno di questi metodi consente di guardare il codice in esecuzione su un iPhone aggiornato per vedere come funziona effettivamente, ma si fidano del fatto che Apple sia aperta e onesta, ma anche che abbia scritto il codice senza errori o sviste significativi.
Un’altra possibilità sarebbe quella di concedere l’accesso al sistema ai membri del Security Research Device Program di Apple per verificare le dichiarazioni dell’azienda. Ma questo gruppo, sostiene Thiel, è composto da ricercatori esterni ad Apple, è vincolato da così tante regole su ciò che possono dire o fare che non risolve necessariamente il problema della fiducia.
Ciò lascia di fatto solo due opzioni. Innanzitutto, gli hacker possono eseguire il jailbreak, vale a dire una procedura di sblocco, dei vecchi iPhone utilizzando una vulnerabilità zero-day. È difficile e costoso e può essere disattivato con una patch di sicurezza. “Apple ha speso molti soldi per cercare di impedire alle persone di eseguire il jailbreak dei telefoni”, spiega Thiel. “Hanno assunto specificamente persone della comunità hacker per rendere più difficile lo sblocco”.
Oppure un ricercatore può utilizzare un iPhone virtuale in grado di disattivare le funzionalità di sicurezza di Apple. In pratica, il lavoro che porta avanti Corellium. Ci sono anche limiti a ciò che qualsiasi ricercatore di sicurezza sarà in grado di osservare, ma se Apple esegue la scansione di altro oltre alle foto condivise su iCloud, un ricercatore potrebbe essere in grado di individuarlo.
Tuttavia, se qualcosa di diverso dal materiale pedopornografico entrasse nei database, sarebbe invisibile per i ricercatori. Per rispondere a questa domanda, Apple afferma che richiederà che due organizzazioni separate per la protezione dei minori in giurisdizioni distinte abbiano la stessa immagine di abuso nei propri database. Ma ha offerto pochi dettagli su come avrebbe funzionato, chi avrebbe gestito i database, quali giurisdizioni sarebbero state coinvolte e quali sarebbero state le fonti finali del database.
Thiel sottolinea che la questione del materiale sugli abusi sessuali su minori che Apple sta cercando di risolvere non è una preoccupazione teorica. “Non è qualcosa che le persone tirano fuori solo come scusa per implementare la sorveglianza. È un problema reale che è diffuso e va affrontato. La soluzione non è eliminare questo tipo di meccanismi, ma renderli il più impermeabili possibile a futuri abusi”.
Ma, afferma Tait, un ex specialista di sicurezza delle informazioni per il servizio di intelligence britannico GCHQ che lavora per Corellium, Apple sta cercando di essere contemporaneamente chiusa e trasparente. “Da una parte, fanno causa ad aziende come Corellium per impedire loro di esistere, dall’altra dicono di lasciare la libertà a qualsiasi ricercatore di sicurezza di verificarlo”. Apple non ha risposto a una richiesta di commento.
Immagine di: Ms tech
(rp)
