“Hacking” di App Store: Apple risponde

di Andrea "C. Miller" Nepori 8


Avrete probabilmente sentito parlare in questi giorni di un “attacco hacker” ai danni degli utenti dell’App Store. Se ci seguite su Twitter avete probabilmente letto i nostri update sulla questione, ma non abbiamo riportato qui su TAL la notizia per il semplice fatto che tutta la faccenda è stata decisamente ingigantita da più parti. Si è arrivati a parlare di “attacchi diffusi” e account compromessi quando in realtà il numero degli utenti coinvolti è sempre stato limitato ed è tutto riconducibile alla frode messa in piedi da un unico sviluppatore.

Ma cos’è successo di preciso? Uno sviluppatore vietnamita che risponde al nome (molto probabilmente fittizio) di Thuat Nguyen ha utilizzato un buon numero di account iTunes di ignari utenti statunitensi, sgraffignati tramite vari metodi (forcing di password semplici o phishing) per spingere nella top 50 della sezione books di iTunes Store U.S.A. una ventina di applicazioni da lui pubblicate.

Si trattava di app maltradotte dal vietnamita e mal codificate, zeppe di contenuti protetti da copyright. Come ha subito scritto MacRumors, per poter spingere un’applicazione in alto nella sezione books di App Store bastano poche centinaia di download per applicazione.

Poche centinaia di account compromessi su 100 milioni di account attivi, rubati per altro con metodi esterni al sistema: questa era la portata del misfatto che ha fatto scrivere a tanti le parole “iTunes Store hackerato”.
Aggiornamento: Apple ha fatto sapere che gli account compromessi erano solo 400.

C’è anche chi ha subito ritenuto opportuno far notare che anche il tanto decantato “walled garden” non è sicuro, come il buon Paolo Attivissimo. La questione è complessa e siamo tutti d’accordo che la chiusura dell’App Store non è il migliore dei mondi possibili (per ora sicuramente rappresenta il più remunerativo per i developer, però). Da fan del cacciatore di bufale mi sarei però aspettato anzi un sistematico smontaggio del sensazionalismo che ha caratterizzato la vicenda, piuttosto che un vero e proprio endorsement senza che vi fossero indicazioni tangibili di una capillare diffusione del problema.

Attacchi di questa portata sono stati registrati a più riprese nel corso degli ultimi anni, tanto che un thread sulla questione è attivo nei forum di MacRumors sin dal gennaio del 2008. L’impressione è che il fantomatico Thuat Nguyen abbia approfittato del ponte festivo del 4 luglio per far fruttare gli account in suo possesso sperando che gli utenti si accorgessero il più tardi possibile dell’anomalia.

Engadget ieri ha ricevuto un commento ufficiale sulla questione da parte di Apple, incredibilmente loquace con Topolsky e co. da quando i rivali di Gizmodo, beh, han fatto quel che hanno fatto con il prototipo dell’iPhone 4.

Nella nota il portavoce di Cupertino non ha confermato direttamente la frode ma ha fatto sapere che Apple ha già provveduto alla rimozione del developer truffaldino e di tutte le sue applicazioni. E per quanto riguarda i soldi rubati? Beh il succo del messaggio è che quello è un problema che gli utenti truffati dovranno affrontare con la loro banca, bloccando la carta e chiedendo il rimborso delle spese non autorizzate.

Allo stato attuale sappiamo dunque che il problema era il picco di un trend che procede da tempo (con account rubati e addirittura rivenduti su TaoBao, l’ebay cinese – leggete questa testimonianza) e che il problema ha riguardato solamente gli utenti dell’iTunes Store statunitense. La domanda dunque è: Apple ha messo in campo tutte le misure possibili per garantire la sicurezza degli utenti? Anche nel caso auspicabile che la risposta sia “sì”, non sarà comunque mai possibile eliminare del tutto il rischio legato al phishing e ad alte pratiche che sfruttano l’anello debole presente in tutti i sistemi informatici: l’utente.

In conclusione: non è mai una cattiva idea controllare che tutto sia a posto nel proprio account e in caso di eventuali stranezze provvedete a cambiare la password e ad avvertire l’assistenza. In generale (ma non vale certo solo per iTunes) è sempre una buona idea impostare una password difficile e magari utilizzare per i pagamenti una carta di debito dedicata (come la Poste Pay) e mai troppo “carica” di denaro.