Ultimamente Apple ha cominciato a donare dei particolari iPhone aventi il codice sorgente aperti; in poche parole, l’azienda sta fornendo a delle compagnie che si occupano di test sulla sicurezza dei software dei melafonini, degli iPhone jailbreakati (sbloccati) di fabbrica. Tale pratica non deve stupire; questo è un metodo necessario per scoprire i bug e le criticità che possono accorrere per i clienti possessori di un iPhone, scaricando le app da fonti esterne allo store ufficiale della compagnia.
Apple: il bizzarro approccio dell’azienda
Gli hacker molto spesso utilizzano proprio questo strumento per monitorare, diagnosticare ed analizzare le vulnerabilità presenti sul sistema. Utilizzando quindi i prototipi per uso interno all’azienda, i tester cercano le vulnerabilità direttamente “in casa”.
Questi particolari dispositivi sono dei piccoli ibridi che, nel mercato dei collezionisti, possono raggiungere costi elevatissimi; tante sono infatti le aste che si tengono online per accaparrarsi uno dei device “sbloccati by Apple”, proprio per via dei permessi speciali di cui dispongono. Se visti nel dettaglio, questi iPhone sono a metà fra i modelli normali e le bozze prototipali che l’azienda crea per studiare il comportamento del sistema operativo di futura uscita.
Se steste pensando di acquistarli, sappiate che non è così semplice come sembra; non si può andare in un Apple Store e sceglierli come si farebbe con un normale device:
- la domanda deve essere fatta direttamente alla compagnia (Apple);
- bisogna essere sviluppatori certificati;
- si deve avere una buona reputazione nel panorama dello sviluppo di app per iOS.
La compagnia di Cupertino afferma che esteticamente sono iPhone di ultima generazione, non usabili per scopi personali (no, niente Instagram e Facebook e selfie di gruppo…) e devono essere sostituiti dall’azienda ogni dodici mesi.
Delle recenti clausole fornite da Apple però, sottolineano come la compagnia abbia inserito molte restrizioni che hanno portato non poche perplessità agli sviluppatori. Ci sono associazioni come Project Zero, ad esempio, che per mantenere alta la pressione sugli sviluppatori, scoprono le vulnerabilità e le falle presenti nel software di un’azienda e lo comunicano alla casa madre. In seguito dichiarano di dare 90 giorni di tempo per risolvere il problema, previa la divulgazione dei segreti e dei bug.
Da un lato questo approccio può spaventare, perché così la compagnia che paga le associazioni che scovano i bug mette “il pepe” agli sviluppatori interni, al fine di fornire le soluzioni migliori nei più brevi tempi possibili; dall’altro invece, è una pratica assai più rischiosa. Di fatto, se una vulnerabilità non viene scoperta, c’è una minor possibilità che venga usata per scopi illeciti. Semplice no?