Una nuova class action accusa Apple per un difetto di iMessage e FaceTime che lega i servizi Apple a un numero di cellulare specifico, lasciando agli utenti l’accesso involontario a dati privati quando quel numero viene riciclato. Sempre nella giornata di ieri, Apple ha vinto una causa relativa ad Apple Pay.
La class action proposta risale a un bug di iMessage emerso per la prima volta nel 2011. A quell’epoca, si scoprì che su alcuni iPhone rubati arrivavano gli iMessage inviati al proprietario originale del dispositivo. Il problema continuava anche quando il titolare cambiava numero sul proprio account, ripristinava l’Apple ID o cancellava in remoto tutti i dati dell’iPhone rubato.
Secondo i querelanti, il problema di fondo era legato alla gestione da parte di Apple degli identificativi dei dispositivi, un protocollo che assicurava che gli iMessage fossero indirizzati all’utente corretto:
In particolare, quando un utente iPhone smette di utilizzare una carta SIM e il numero di telefono associato a quella carta SIM viene successivamente riciclato da un operatore di rete wireless come T-Mobile, il precedente proprietario della carta SIM associata a quel numero di telefono è comunque in grado di ricevere sul proprio iPhone chiamate iMessages e FaceTime che avrebbero dovuto essere ricevute solo dal nuovo proprietario di quel numero di telefono.
Anche se non si entra nei dettagli, la causa sostiene che l’ID Apple mantiene una connessione con il numero di telefono associato alla scheda SIM originale di un iPhone. Problemi simili si sono verificati anche in Italia.
All’epoca, anche l’esperto Jonathan Zdziarski di ArsTechnica disse la sua:
Posso solo speculare, ma credo che questa teoria sia plausibile: iMessage si attiva con il numero di telefono dell’abbonato dalla SIM, quindi supponiamo che ripristini il telefono… iMessage leggerà comunque il numero di telefono dalla SIM. Suppongo che se cambi la SIM dopo che il telefono è stato configurato, il vecchio numero potrebbe essere memorizzato nella cache da qualche parte sul telefono o sui server Apple con l’UDID del telefono.
Questo difetto ha causato l’instradamento ad altri utenti degli iMessages e delle chiamate FaceTime destinate al proprietario dell’iPhone. Più specificamente, un utente iPhone che ha cambiato numero poteva ricevere i messaggi e le chiamate FaceTime destinate all’utente che in quel momento aveva quel vecchio numero riciclato dall’operatore.
Secondo i querelanti, si tratta di un problema di sicurezza e di privacy, visto che utenti sconosciuti potevano ricevere inavvertitamente messaggi anche sensibili destinati ad altre persone, per quella che viene definita una “violazione pervasiva della sicurezza dei dati“.
Il problema è stato risolto da Apple con iOS 12 e l’autenticazione a due fattori, ma non sappiamo quanti utenti siano stati colpiti dal bug. I querelanti chiedono ai giudici di autorizzare la class action e di condannare Apple al pagamento dei danni e delle spese giudiziarie per pratiche ingannevoli, falsa dichiarazione fraudolenta e arricchimento ingiusto.
Intanto, Apple ha vinto una causa per presunte violazioni di brevetti utilizzati in Apple Pay. La denuncia risale al 2017 e venne presentata dalla USR per alcuni brevetti relativi all’uso di e-wallet e autenticazione dei pagamenti. Nell’ultima sentenza, i giudici hanno stabilito che Apple non ha violato alcun brevetto della USR, poiché “iPhone e iPad funzionano in modo diverso dalle rivendicazioni specifiche dei brevetti e dai metodi indicati dal querelante“.
Apple si è detta sollevata per questa sentenza.