Lo stesso trucco utilizzato da Facebook e Google, adesso è a portata di mano anche dei pirati del software, che contraffanno app a pagamento e consentono di caricarle gratuitamente sugli iPhone, provocando un danno economico all’azienda e agli sviluppatori.
Distributori di software pirata, riportano i ricercatori americani che stanno analizzando il fenomeno, sono siti come TutuApp, Panda Helper, AppValley e TweakBox.
Le app contraffatte, ha scritto Reuters, sono tra le altre Spotify, Angry Birds, Pokemon Go e Minecraft. Alcune a pagamento, altre in abbonamento o utilizzabili visionando pubblicità: nella versione pirata tutto questo è eliminato e non c’è più guadagno né per i produttori originali che per gli inserzionisti. Senza contare il rischio sicurezza, visto che le app pirata potrebbero essere infettate con virus o comunque insicure per gli utilizzatori.
Il modo con il quale i pirati sono riusciti ad aggirare i controlli che impediscono di installare sugli iPhone app che non provengano dall’app store di Apple è quello dei cosiddetti certificati digitali aziendali per gli sviluppatori.
Questi certificati possono essere utilizzati dalle aziende che si iscrivono al programma di Apple per gli sviluppatori e che pagano 299 dollari in più. Con il certificato possono essere create app che possono essere scaricate via web dagli utilizzatori finali, cioè – secondo quanto previsto dall’accordo di utilizzo preparato da Apple – solo i dipendenti di ciascuna azienda in possesso del certificato. Le app tipicamente sono quelle per la gestione ad esempio della prenotazione dei servizi aziendali, la pianificazione delle ferie, l’organizzazione delle riunioni e funzioni interne simili. Apple non ha la possibilità di esercitare un controllo preventivo su questo tipo di app dato che non vengono caricate sul suo App store ma distribuite direttamente tramite l’intranet aziendale.
Facebook e Google hanno invece utilizzato questo certificato anche per realizzare app che superavano le limitazioni imposte dal contratto d’uso per gli sviluppatori che realizzano app per l’App store, e quindi poter raccogliere informazioni sugli utenti esterni che Apple non autorizza. Quando, alcuni giorni fa, Apple si è accorta di questa violazione da parte delle due aziende, ha disabilitato i certificati aziendali di entrambe le aziende, paralizzando non solo le app in violazione, ma anche quelle utilizzate dai dipendenti in maniera regolare.
Per quanto riguarda invece il software pirata, la manipolazione è basata su una serie di aziende che affermano falsamente di aver utilizzato il certificato per realizzare app per i propri dipendenti, e invece realizzano versioni pirata delle app commercializzate sull’App store.
Apple ha dichiarato a Reuters che non tollera comportamenti di questo tipo: “Gli sviluppatori che abusano dei certificati aziendali violano l’accordo dell’Apple Developer Enterprise Program e i loro certificati vengono terminati e, se del caso, verranno rimossi completamente dal nostro programma per gli sviluppatori. Stiamo continuamente valutando i casi di abuso e siamo pronti a prendere provvedimenti immediati”.
Reuters ha verificato che Apple ha effettivamente rimosso i certificati che rendevano operative alcune di queste app. Ma nei giorni successivi, notano alcuni esperti di Shape Security, è stato rilevato che altri certificati sono stati utilizzati per rendere di nuovo operative le app contraffatte.
“Non c’è nulla – ha detto Amine Hambaba, responsabile della sicurezza presso la software house Shape Security – che impedisca a queste aziende di rifarlo con un altro team, un altro account sviluppatore e quindi un altro certificato emesso da Apple”.
Apple ha confermato che entro la fine di questo mese richiederà ai suoi sviluppatori l’autenticazione a due fattori, utilizzando un codice inviato a un telefono e una password, per accedere a tutti gli account. Il che dovrebbe aiutare a prevenire l’uso improprio dei certificati.
Non è chiaro quante entrate stanno sottraendo da Apple e dai produttori di app legittimi queste app pirata.
TutuApp offre una versione gratuita di Minecraft, che costa 6,99 euro nell’App Store di Apple. AppValley offre una versione del servizio di streaming musicale gratuito di Spotify con gli annunci pubblicitari eliminati.
I distributori guadagnano facendosi pagare 13 o più euro all’anno per gli abbonamenti a quelle che chiamano versioni “Vip” dei loro servizi, che hanno più funzionalità delle versioni gratuite. È impossibile sapere quanti utenti non acquistano tali abbonamenti, ma i distributori di app pirata combinati hanno più di 600mila follower su Twitter.
I ricercatori di sicurezza hanno avvertito Apple da molto tempo dal rischio dell’uso improprio dei certificati per sviluppatori aziendali, che fungono da chiavi digitali che indicano a un iPhone che una app scaricata da Internet può essere considerata affidabile e usata. Sono il fulcro del programma Apple per le app aziendali e consentono ai consumatori di installare app su iPhone senza che Apple ne sia a conoscenza.
