I pirati del software hanno trovato il modo di distribuire sull’App Store versioni contraffatte di famose applicazioni per iPhone come Spotify, Angry Birds, Minecraft e molte altre.
Per farlo, sfruttano alcuni certificati digitali contraffatti per bypassare i controlli del programma di sviluppo che Apple utilizza per consentire alle aziende di distribuire direttamente applicazioni aziendali ai propri dipendenti senza passare attraverso i controlli di sicurezza del suo store.
Le versioni modificate di queste app (alcune disponibili a pagamento, altre con annunci pubblicitari) sono prive di qualsiasi limitazione d’uso e di inserzioni pubblicitarie, con un danno economico evidente per gli sviluppatori e per gli inserzionisti.
Senza dimenticare il serio rischio sicurezza per gli utenti finali, in quanto le app pirata potrebbero nascondere virus di ogni genere capaci di rubare informazioni personali e riservate o compromettere l’integrità di smartphone e tablet. Un problema molto serio soprattutto quando i dispositivi sono utilizzati in ambito aziendale e per lo smart working.
Dal canto suo, Apple ha dichiarato di non poter monitorare in tempo reale la distribuzione di questi certificati o la diffusione di applicazioni modificate in modo improprio sui suoi dispositivi, ma che annullerà immediatamente i certificati qualora dovesse verificarne un uso improprio.
“Gli sviluppatori che abusano dei nostri certificati aziendali violano l’Apple Developer Enterprise Program Agreement e i loro certificati saranno revocati e, se del caso, saranno completamente rimossi dal nostro Developer Program”, è quanto ha dichiarato un portavoce Apple alla Reuters che per prima ha scoperto questa nuova campagna di pirateria software. “Valutiamo continuamente i casi di uso improprio e siamo pronti ad agire immediatamente”, ha continuato il portavoce.
Apple Store “bucato”: il trucco usato anche da Facebook e Google
Quanto sta succedendo in questi giorni era stato già anticipato da alcuni ricercatori di sicurezza che avevano lanciato l’allarme relativamente all’uso improprio dei certificati di sviluppo aziendale. Tali certificati fungono da digital key per confermare l’attendibilità delle app di terze parti scaricate da Internet e consentirne così l’esecuzione sull’iPhone. Oltre ad essere il fulcro del programma Apple per lo sviluppo delle applicazioni aziendali, consentono ai consumatori di installare applicazioni su iPhone senza che Apple ne sia a conoscenza.
Questi certificati possono essere utilizzati dalle aziende che si iscrivono (al costo di 299 dollari) al programma di Apple per gli sviluppatori. Le app dotate di questi certificati possono poi essere scaricate direttamente via web dagli utilizzatori finali. Le app sviluppate per le aziende, ad esempio, possono essere scaricate solo dai dipendenti di ciascuna azienda regolarmente in possesso del certificato. Esempi tipici di app scaricabili senza passare dall’App Store sono quelle per la gestione dei servizi aziendali, per la pianificazione delle ferie e per l’organizzazione delle riunioni.
Su queste app, la Apple non può ovviamente esercitare un controllo preventivo in quanto non vengono caricate sul suo App Store ufficiale ma distribuite direttamente ai dipendenti delle aziende oppure agli utenti di uno specifico servizio.
Questa estrema libertà di rilascio delle app senza passare per l’App Store ha portato la Apple, il mese scorso, a contestare a Facebook e Google un utilizzo improprio dei certificati di sviluppo aziendale per distribuire ai consumatori applicazioni per la raccolta dati. Così facendo, secondo la Casa di Cupertino i due social network sono riusciti a raccogliere informazioni sugli utenti violando di fatto le normali autorizzazioni del suo store. Subito dopo la contestazione, la Apple ha immediatamente disabilitato i certificati aziendali sia di Facebook sia di Google bloccando di fatto l’uso delle rispettive app.
Nel caso delle app pirata, invece, i criminal hacker sono riusciti ad utilizzare certificati ottenuti in nome di aziende legittime, anche se non è chiaro come. Dalle prime analisi, sembra che i certificati contraffatti appartengano ad una filiale di China Mobile Ltd, che al momento non ha confermato un eventuale furto. Chiaramente, i certificati non sono stati utilizzati per realizzare app per i dipendenti della multinazionale cinese, ma per realizzare le versioni pirata delle app commercializzate sull’App Store.
L’abuso di certificati, inoltre, ha permesso anche la distribuzione di applicazioni per la pornografia e il gioco d’azzardo altrimenti vietate dall’App Store.
Al momento Apple ha effettivamente rimosso i certificati non autorizzati, ma a quanto pare i pirati del software sono riusciti a recuperarne altri per continuare a distribuire app contraffatte. D’altronde, come confermato anche da Amine Hambaba, responsabile della sicurezza presso la software house Shape Security, “non c’è nulla che possa impedire ai pirati di rifarlo utilizzando un altro account sviluppatore e quindi un altro certificato emesso da Apple”.
Un’analisi confermata anche da Alessandro Vallega, Information & Cyber Security Advisor, Integration and Change, Community Management at P4I – Partners4Innovation: “Questa è sicuramente una vicenda sgradevole che dimostra quanto nessuna soluzione informatica o piattaforma possa essere ritenuta del tutto sicura, di fronte alla determinazione e spregiudicatezza dei criminali informatici”.
“Visto che gli attacchi possono provenire da nazioni con legislazioni e sensibilità anche nettamente differenti”, continua Vallega, “il contrasto del crimine informatico fatto dalle forze di polizia è spesso impossibile da gestire. Mancando quindi la leva classica per ridurre gli illeciti, alle aziende tecnologiche non resta che aumentare i controlli e le misure di sicurezza, a volte degradando l’esperienza utente. Secondo il mio punto di vista, essendo praticamente impossibile controllare l’identità di ogni sviluppatore, localizzato ovunque nel mondo, che sia disposto a pagare 299 dollari, al momento ad Apple non rimane che intensificare i controlli e rimuovere i certificati che non siano stati utilizzati correttamente”.
“Agli utenti, ai comuni cittadini, ai nostri figli”, è il consiglio dell’analista, “va detto che nessuno fa nulla per nulla. Installare software che evita il pagamento di un abbonamento significa avere a che fare con un sistema criminale e molto probabilmente aprire il proprio device a malware e spyware che alla fine danneggerà anche loro”.
L’unico modo per difendersi da queste app contraffatte, dunque, è quello di non scaricare mai app da sorgenti diverse dall’App Store se non si è più che certi della loro provenienza. Così come non bisogna mai installare versioni “gratuite” di applicazioni notoriamente a pagamento senza aver prima verificato la veridicità di questa promozione, eventualmente con un rapido controllo sul sito originale o sui canali social dello sviluppatore.
