Quando un utente acquista un dispositivo Apple, qualunque esso sia, è ben consapevole che il software rappresenti la ‘punta di diamante’. È risaputo, infatti, che i dispositivi della Mela siano molto ben ottimizzati al punto che non è necessario utilizzare un hardware particolarmente spinto per avere un iPhone che funzioni bene (sebbene questa ‘legge’ stia perdendo un po’ la sua validità in questi ultimi tempi).
Tuttavia, nessun software è perfetto in senso assoluto. Nel codice sono sempre presenti delle falle di sicurezza che, se scoperte, potrebbero mettere a serio rischio i dati personali dell’utente (password, numero di carta di credito, ecc…). Allo scopo di ridurre il più possibile tale evenienza, pare che Apple abbia messo in piedi un’iniziativa alquanto interessante e volta a premiare chi scopre queste falle.
Apple offre un milione di dollari a chi riesce ad entrare, da remoto, nel kernel di un iPhone
In realtà, l’azienda di Cupertino aveva già avviato una campagna del genere in passato, sebbene fossero posti limiti differenti sia per quanto riguarda le ricompense (che, ricordiamo, arrivavano fino a 200.000 dollari) che per quanto riguarda le persone che vi potevano aderire (solo ricercatori selezionati). Adesso, Apple apre tale iniziativa a tutti gli esperti del software e, inoltre, alza la posta in palio fino ad un milione di dollari.
Per ottenere questa cifra, il ricercatore dovrà dimostrare di riuscire, mediante qualche artefatto software, ad accedere al kernel di un iPhone senza compiere alcuna azione diretta su di esso: in poche parole, tutte le operazioni dovranno essere necessariamente compiute da remoto. Per chi non lo sapesse, il kernel costituisce la parte più importante di un sistema operativo e, di conseguenza, è fondamentale sviluppare adeguati meccanismi di sicurezza per evitare una sua manomissione.
Nel frattempo, FaceID di Apple sarebbe già stato ‘beffato’
Negli stessi momenti in cui si teneva la conferenza Black Hat (la stessa dove Apple annunciò l’iniziativa di cui abbiamo parlato poc’anzi), un gruppo di ricercatori avrebbe scoperto un metodo ‘artigianale’ per bypassare FaceID. È sufficiente che la ‘vittima’ sia addormentata e che la stessa indossi un particolare paio di occhiali aventi due strisce di scotch, una bianca al di sopra di una nera (che simulerebbero gli occhi reali).
In questo modo, la funzionalità liveness detection di FaceID funziona peggio “non estraendo informazioni 3D dall’area degli occhi” e, in poche parole, è come se la parte al di sotto degli occhiali fosse scansionata con minor precisione. È bene precisare, però, che bypassare FaceID in questo modo non è per nulla semplice (la vittima deve essere addormentata, e non è detto che il sistema di Apple sia sempre aggirato da questa ‘trovata’), anche considerando che Apple, a questo punto, troverà il modo di sistemare questa falla di sicurezza.