iTunes e gli account bucati, che c’entra il “walled garden”?

di Andrea "C. Miller" Nepori 5


La scorsa settimana si è fatto un gran parlare del caso di Thuat Nguyen, lo sviluppatore vietnamita che, grazie a 400 account iTunes compromessi di cui aveva ottenuto il controllo, è riuscito a spingere nella top 50 della categoria libri di App Store U.S.A. una 40ina di applicazioni da lui sviluppate che dei libri avevano solo la parvenza – erano semplici app maltradotte zeppe, per altro, di contenuti protetti da copyright.

La risposta di Apple è stata relativamente rapida: il developer è stato sbattuto fuori dall’App Store e tutte le sue applicazioni sono state rimosse. Era un caso isolato, un (bel) po’ esagerato da TheNextWeb, la testata online che per prima ha diffuso la notizia.

Un problema di lieve entità, quindi, che riguarda per altro degli utenti i cui dati d’accesso sono stati rubati con pratiche di phishing che nulla hanno a che fare con iTunes. Paolo Attivissimo, che conoscerete sicuramente per la sua fama di smontatore di bufale e leggende metropolitane, non la pensa così e ritiene che questo evento sia una palese dimostrazione delle debolezze del “walled garden”. Ma siamo sicuri che le due cose si possano mettere in relazione con tanta semplicità?


Con la locuzione “walled garden”, “giardino recintato”, si indica metaforicamente un sistema chiuso che pone limiti precisi  riguardo ciò che si può fare al suo interno e basa la propria sicurezza proprio sul controllo e l’approvazione dei contenuti nonché sul rispetto di regole ferree di accesso. L’App Store funziona in questo modo, ma non è l’unico “walled garden” esistente. Si pensi ad esempio all’Xbox Live Marketplace o al PlayStation Store.

“Una storia poco felice per Apple, perché ha messo in luce la scarsa sicurezza dei controlli su chi vende applicazioni nell’App Store: la società del truffatore era registrata nello Store come “mycompany” e il suo sito era una pagina vuota,” scrive Attivissimo. “Ci si chiede come abbia fatto un profilo del genere ad essere ammesso come venditore.”

Lungi da me voler fare il difensore d’ufficio di Apple. A Cupertino si sanno difendere bene anche da soli e non ho paura di criticare la Mela quando è giusto farlo. Le problematiche di App Store però sono altre, e non si può certo addurre la presenza di un developer come Nguyen come prova dell’assenza di controlli adeguati in un sistema che per la sua natura chiusa, secondo Attivissimo, dovrebbe essere sinonimo di “paradiso della sicurezza”.

Il cacciatore di bufale però non considera un fatto molto semplice: l’App Store è regolato da norme precise, nessuna delle quali era stata violata da Nguyen prima che si mettesse a comprare le proprie applicazioni con account rubati con metodi esterni al sistema. Pubblicare migliaia di applicazioni di nessun valore, scrivere descrizioni ridicole e lasciare vuoto il proprio profilo, produrre contenuti di infimo ordine con materiale coperto da copyright, sono tutti elementi che incidono sulla qualità generale dell’offerta commerciale del sistema, non sulla sua sicurezza.

Maggiori controlli qualità che prendano in considerazione questi aspetti sono certamente auspicabili (e segnalare anomalie analoghe al supporto utenti è una pratica utile) ma pretendere che si possa stabilire una relazione definita fra questo tipo di contenuti e i problemi di sicurezza è abbastanza illogico.

Quanto alle questioni di sicurezza, nessuno nega che il problema ci sia, del resto stiamo parlando di un sistema informatico in cui gli utenti, l’anello debole della catena della sicurezza, sono 150 milioni. Quali metodi dovrebbe applicare Apple per impedire che i suoi utenti cadano vittima del phishing, del keylogging e di altre pratiche analoghe che non avvengono all’interno del “walled garden”?

Della natura e delle implicazioni dei sistemi di fornitura di contenuti controllati che prevedono un processo di approvazione si può parlare a lungo, ma il caso di Nguyen (e i casi analoghi, come quello ancor più recente delle guide cinesi di WiiSHii Network) non ha un peso determinante nella discussione sulla loro sicurezza, perché lo scopo della chiusura e dell’approvazione preventiva è proteggere l’utente da applicazioni palesemente malevole, come quelle che sono libere di esistere sull’Android Market e che Google si limita ad eliminare una volta scoperta la loro presenza (ovvero a danno già fatto). Contro il phishing e le altre pratiche analoghe non può nulla nemmeno il più ostinato dei cerberi dell’App Store.