Due giorni fa Apple ha aggiornato il suo servizio di recupero password introducendo (solo in alcuni paesi) un nuovo sistema di sicurezza che prevede l’inserimento di un codice all’interno del proprio dispositivo iOS. Peccato che, dopo tale aggiunta, Apple si sia dimenticato di qualcosa, tanto da consentire a chiunque di entrare in possesso di un altro account semplicemente inserendo indirizzo e-mail e data di nascita del suo legittimo proprietario. Fortunatamente, non appena scoperto il bug, Apple ha messo offline la pagina di recupero password (iForgot) per lavorare sul problema, ed ora tutto sembra essersi risolto.
Il trucco prevedeva l’utilizzo di un URL modificato – sempre interno ad Apple – che permetteva di saltare la pagina di verifica dell’account in cui vengono poste all’utente le classiche domande di sicurezza, consentendo così a chiunque di entrare in possesso di tutti i vostri dati collegati all’Apple ID, incluse le informazioni sulla residenza e sui metodi di pagamento, nonché l’accesso a questi ultimi per completare acquisti.
Ora la pagina ufficiale per il ripristino della password è ritornata online e non sembra essere più presente il bug di cui abbiamo parlato. Apple ha impiagato circa cinque ore dal momento della scoperta del bug alla risoluzione del problema, lasciando offline il sito per tutto questo tempo. Insomma, tutto risolto o quasi.
In queste ultime settimane, infatti, Apple è sembrata poco attenta ai particolari, cosa che in passato non era mai capitato o, almeno, non con questa frequenza e in questo breve lasso di tempo. Prima iOS, con il bug del passcode facilmente aggirabile: Apple aveva corretto il problema con iOS 6.1.3, peccato però che tale update ha sì risolto il bug, ma ne ha aggiunto anche un altro ed ora è possibile aggirare la password tramite Controllo Vocale. Utilizzando la funzione di Controllo Vocale dell’iPhone è possibile ancora bypassare la schermata di blocco del dispositivo, ma pare che attualmente questo exploit funzioni unicamente su iPhone 4 e non sugli altri device. A scoprire il bug è stato l’utente YouTube videosdebarraquito e secondo quanto riportato pare che sia possibile accedere a rubrica e fotografie senza dover necessariamente inserire il codice di accesso espellendo la SIM durante la digitazione di un numero per una chiamata tramite Controllo Vocale.
Insomma, in Apple sembrano tutti un po’ troppo distratti, soprattutto su un tema sempre molto caro alla società: la sicurezza. Consentire di bypassare la password di sicurezza dell’iPhone è già grave, ma addirittura consentire in pochi passaggi di prendere possesso di un account iTunes – e di conseguenza avere accesso a tutti i dati personali, carta di credito compresa, dell’utente – è ancora peggio. Sono cose non da Apple, frutto forse di una mancato controllo di ogni aspetto dei servizi offerti. Alcuni imputano questa serie di problemi al fatto che Apple abbia ora milioni di utenti e non era abituata a gestirne così tanti, ma questo non è vero: che siano 10 o 10 milioni, la sicurezza degli utenti è l’elemento più importante da considerare, soprattutto se non si vuole rischiare di perdere la faccia. Fortunatamente per Apple, la sua storia e il suo blasone gli consentiranno di far presto dimenticare questi due passi falsi, ma siatene certi: gli utenti non ne perdoneranno ancora.
Apple, più attenzione la prossima volta!