La scorsa settimana si è fatto un gran parlare del caso di Thuat Nguyen, lo sviluppatore vietnamita che, grazie a 400 account iTunes compromessi di cui aveva ottenuto il controllo, è riuscito a spingere nella top 50 della categoria libri di App Store U.S.A. una 40ina di applicazioni da lui sviluppate che dei libri avevano solo la parvenza – erano semplici app maltradotte zeppe, per altro, di contenuti protetti da copyright.
La risposta di Apple è stata relativamente rapida: il developer è stato sbattuto fuori dall’App Store e tutte le sue applicazioni sono state rimosse. Era un caso isolato, un (bel) po’ esagerato da TheNextWeb, la testata online che per prima ha diffuso la notizia.
Un problema di lieve entità, quindi, che riguarda per altro degli utenti i cui dati d’accesso sono stati rubati con pratiche di phishing che nulla hanno a che fare con iTunes. Paolo Attivissimo, che conoscerete sicuramente per la sua fama di smontatore di bufale e leggende metropolitane, non la pensa così e ritiene che questo evento sia una palese dimostrazione delle debolezze del “walled garden”. Ma siamo sicuri che le due cose si possano mettere in relazione con tanta semplicità?
Con la locuzione “walled garden”, “giardino recintato”, si indica metaforicamente un sistema chiuso che pone limiti precisi riguardo ciò che si può fare al suo interno e basa la propria sicurezza proprio sul controllo e l’approvazione dei contenuti nonché sul rispetto di regole ferree di accesso. L’App Store funziona in questo modo, ma non è l’unico “walled garden” esistente. Si pensi ad esempio all’Xbox Live Marketplace o al PlayStation Store.
“Una storia poco felice per Apple, perché ha messo in luce la scarsa sicurezza dei controlli su chi vende applicazioni nell’App Store: la società del truffatore era registrata nello Store come “mycompany” e il suo sito era una pagina vuota,” scrive Attivissimo. “Ci si chiede come abbia fatto un profilo del genere ad essere ammesso come venditore.”
Lungi da me voler fare il difensore d’ufficio di Apple. A Cupertino si sanno difendere bene anche da soli e non ho paura di criticare la Mela quando è giusto farlo. Le problematiche di App Store però sono altre, e non si può certo addurre la presenza di un developer come Nguyen come prova dell’assenza di controlli adeguati in un sistema che per la sua natura chiusa, secondo Attivissimo, dovrebbe essere sinonimo di “paradiso della sicurezza”.
Il cacciatore di bufale però non considera un fatto molto semplice: l’App Store è regolato da norme precise, nessuna delle quali era stata violata da Nguyen prima che si mettesse a comprare le proprie applicazioni con account rubati con metodi esterni al sistema. Pubblicare migliaia di applicazioni di nessun valore, scrivere descrizioni ridicole e lasciare vuoto il proprio profilo, produrre contenuti di infimo ordine con materiale coperto da copyright, sono tutti elementi che incidono sulla qualità generale dell’offerta commerciale del sistema, non sulla sua sicurezza.
Maggiori controlli qualità che prendano in considerazione questi aspetti sono certamente auspicabili (e segnalare anomalie analoghe al supporto utenti è una pratica utile) ma pretendere che si possa stabilire una relazione definita fra questo tipo di contenuti e i problemi di sicurezza è abbastanza illogico.
Quanto alle questioni di sicurezza, nessuno nega che il problema ci sia, del resto stiamo parlando di un sistema informatico in cui gli utenti, l’anello debole della catena della sicurezza, sono 150 milioni. Quali metodi dovrebbe applicare Apple per impedire che i suoi utenti cadano vittima del phishing, del keylogging e di altre pratiche analoghe che non avvengono all’interno del “walled garden”?
Della natura e delle implicazioni dei sistemi di fornitura di contenuti controllati che prevedono un processo di approvazione si può parlare a lungo, ma il caso di Nguyen (e i casi analoghi, come quello ancor più recente delle guide cinesi di WiiSHii Network) non ha un peso determinante nella discussione sulla loro sicurezza, perché lo scopo della chiusura e dell’approvazione preventiva è proteggere l’utente da applicazioni palesemente malevole, come quelle che sono libere di esistere sull’Android Market e che Google si limita ad eliminare una volta scoperta la loro presenza (ovvero a danno già fatto). Contro il phishing e le altre pratiche analoghe non può nulla nemmeno il più ostinato dei cerberi dell’App Store.
Marcello 12/07/2010 il 10:12
In passato ho spesso elogiato il nostro “iperattivo” per le sue iniziative, ma devo dire che non è certo la prima volta che la fa “fuori dal vaso”… In effetti la sua teoria sarebbe del tutto sensata se la violazione dei dati fosse avvenuta nel giardino degli alberi di mele, ma così è costruita su basi che solo lui può (o vuole) vedere…
laddantel 12/07/2010 il 10:48
@ Camillo Miller:
“Pubblicare migliaia di applicazioni di nessun valore, scrivere descrizioni ridicole e lasciare vuoto il proprio profilo, produrre contenuti di infimo ordine con materiale coperto da copyright, sono tutti elementi che incidono sulla qualità generale dell’offerta commerciale del sistema, non sulla sua sicurezza.
Maggiori controlli qualità che prendano in considerazione questi aspetti sono certamente auspicabili”
questo è il concetto! Apple può fare più controlli, ma: 1. non è obbligata a farli; 2. i buchi nella sicurezza sono esterni al suo sistema.
cmq una cosa veramente interessante è che ora stiamo vedendo apple in un mondo completamente nuovo. mi spiego:
apple è sempre stata vista come la marca di nicchia in confronto a microsoft nel settore degli os per computer e si diceva (e si continua pure ora) che i suoi sistemi erano più sicuri perchè non erano così diffusi come quelli di microsoft. ora invece apple è l’azienda predominante nel settore degli os mobile, ma soprattutto nell mercato delle applicazioni per os mobile. qui predomina senza problemi, ne di numeri, ne di sicurezza. viene da porsi qualche domanda secondo me!
Andrea 13/07/2010 il 07:52
Sono in sintonia con l’articolo e con il commento di laddantel. E’ chiaro che non si possano imputare colpe specifiche ad Apple se i suoi utenti si fanno “fregare” le password: succederebbe la stessa cosa con i conti correnti bancari on line dove le banche sono altrettanti walled garden. Quindi, Apple deve aumentare il suo livello di guardia non essendo oramai più solo produttore di prodotti di nicchia, ma noi utenti…. sveglia! Non andiamo a rispondere a mail fraudolente con richiesta di inserimento della password o pratiche del genere perchè poi non possiamo mica lamentarci con Apple. Purtroppo la rete nasconde delle insidie ed ogniuno, a mio parere, deve fare la sua parte per difendere il suo orticello (o walled garden….). Saluti.