Ieri sera abbiamo ricevuto una mail da nostro utente iZoos, nella quale si parlava di problemi di sicurezza relativamente all’applicazione iCredito. Dopo pochi minuti dalla ricezione della stessa abbiamo quindi ritenuto giusto contattare lo sviluppatore di iCredito Eugenio Baglieri prima di scrivere un articolo senza aver approfondito meglio la questione e con il rischio di arrecare un ingiusto danno alla sua applicazione. Baglieri ha accettato il nostro invito e ha chiarito la situazione.
Partiamo dall’inizio e cioè dal testo della mail di iZoos:
[…] Se navighi via SSH o iFile fino ad arrivare alla cartella di iCredito, tanto per intenderci quella con le lettere e numeri strani e vai in Library/preferences/applicazioneicredito.plist, andando nelle ultime due stringhe ci sono scritti l’username e la password e puoi benissimo vedere che non sono criptate.
[…] per favore pubblica un post che dice di stare molto attenti, di eliminare o fare il logout di iCredito, perchè potenzialmente un cracker o lamer potrebbero benissimo fare un giochino, metterlo su Cydia e prendere le stringhe ed inviarle al cracker o lamer, che poi si potrebbe collegare al sito tim.it con quelle credenziali.
Lo sviluppatore ci tiene a precisare che:
…gli utenti che non hanno fatto il jailbreak sono del tutto immuni a questa cosa semplicemente perchè Apple basa tutta la sicurezza del dispositivo in un semplice concetto chiamto SANDBOXING, questo concetto afferma che ogni applicazione può avere accesso in lettura o scrittura solo alla propria cartella, quindi il sistema operativo stesso impedisce ad altre applicazioni di accedere al contenuto delle altre. Ora accade che eseguendo l’operazione di jailbreak questa limitazione viene eliminata e ogni applicazione può fare ciò che vuole. Quindi è l’utente stesso che eseguendo il jailbreak si espone alle situazioni di “pericolo”. Eseguendo il jailbreak si esce quindi dallo standard di sicurezza Apple e gli sviluppatori non sono tenuti a preoccuparsi di questa fetta di utenti.
Basti pensare che anche altre applicazioni (alcune delle quali contengono le informazioni di Paypal…) non si preoccupano di nascondere i dati utente in nessun modo, proprio perchè il sistema operativo ideato da Apple è iper sicuro!
In pratica i dati conservati in chiaro nei file plist sono comuni a tutte, o quasi, le applicazioni presenti su AppStore, per cui allarmare gli utenti solo e soltanto su un’applicazione non avrebbe senso.
E’ il jailbreak in sè ad essere soggetto a questi “problemi”, e di questo ne abbiamo più volte parlato.
Malgrado questo lo sviluppatore fa sapere che è già a lavoro per correggere alcuni bug di iCredito e criptare i dati.
Intanto, se volete essere sicuri di non incorrere in questi problemi, come sempre iPhoneItalia vi consiglia di cambiare password di root seguendo questa guida.