iTunes, tre anni per chiudere una falla nella sicurezza

Ci sono voluti ben tre anni prima che Apple rilasciasse un aggiornamento per la versione Windows di iTunes, destinato a correggere una falla nella sicurezza del software nota fin dal 2008. A scoprirla fu il ricercatore argentino Francisco Amato, che la segnalò prontamente alla mela morsicata, ma l’azienda di Cupertino sembra di certo non aver etichettato la questione come prioritaria.

Eppure si tratta di una vulnerabilità di certo non trascurabile che, per maggior precisione, va segnalato non riguardare solamente iTunes, ma anche altre applicazioni. Il suo funzionamento è tanto semplice quanto efficace: dopo aver agganciato un computer mediante connessione WiFi, chiede il permesso all’utente per installare un finto update del software, che in realtà abilita l’accesso da remoto a tutte le informazioni contenute nel dispositivo.

Un team di programmatori britannico, Gamma Technologies, ha anche realizzato l’applicazione FinFisher, vendendola poi ad alcuni enti governativi sparsi in tutto il mondo per sfruttare proprio questa particolare falla e assumere così il controllo di alcuni computer ritenuti sospetti. Una pratica di certo discutibile, che secondo qualcuno potrebbe aver addirittura spinto Apple a ritardare l’aggiornamento in questione, che di fatto rende del tutto inutile tale strumento per l’intrusione.

Brian Kebbs, esperto di sicurezza dei sistemi informatici, scrive sul proprio blog che non c’è alcuna spiegazione plausibile per giustificare un periodo così esteso. Oltre 1.200 giorni rappresentano un lasso di tempo enorme, durante il quale ogni persona che ha installato la versione Windows di iTunes è stata potenzialmente a rischio di essere spiata.