Apple e la falla di SSL di Mac OS X e iOS

Un grossolano errore nel codice che valida i certificati di crittografia SSL rende insicura la trasmissione di dati via Internet negli ultimi sistemi operativi di Apple.  

Il problema non è limitato al browser ma implica molti altri programmi e funzioni via Internet, tra cui Mail, Aggiornamento Software, iCloud. Il bug, causato da un riga di codice erroneamente ripetuta, permette di leggere ed estrarre informazioni come credenziali d'accesso, dati di pagamento e informazioni private oppure fornire come per buoni software che invece sono malevoli. Queste operazioni normalmente sono protette dalla crittografia e c'è chi ha ipotizzato che il bug nel codice di iOS e OS X sia intenzionale e atto a facilitare l'opera di qualche agenzia governativa. 

Del resto: come è possibile che in più di un anno di sviluppo e test (sedici mesi nel caso di iOS 6, dove il codice ha fatto il suo esordio) nessuno a Cupertino abbia scovato o si sia imbattuto nel bug? 

Anche accantonando dubbi e paranoie, il comportamento di Apple è stato indubbiamente irresponsabile e pecca in  trasparenza e prontezza. Basandoci sulla data in cui il bug è stato rilevato internamente, l'azienda californiana era infatti a conoscenza del problema perlomeno dal mese scorso, e ha reso disponibile un tardivo aggiornamento di sicurezza inizialmente solo per i dispositivi iOS. Gli utenti Macintosh hanno dovuto attendere altri quattro giorni, senza alcun avvertimento o informazione utile sul come proteggersi mentre i dettagli tecnici circolavano liberamente.

Detto questo, vediamo in concreto cosa bisogna fare per proteggersi dall'insicurezza.

Se avete un iPhone, o altro dispositivo con iOS 6 o iOS 7, sono disponibili due aggiornamenti di sicurezza, rispettivamente a 6.1.6 e a 7.0.6 che risolvono il problema. Potete effettuare l'update direttamente dall'app impostazioni oppure usare iTunes sul PC e collegare il dispositivo per applicare la nuova versione di iOS.
Attenzione, però: se l'iPhone, iPad o iPod touch ha iOS 6 ed è in grado di essere aggiornato a iOS 7, non verrà installato iOS 6.1.6 ma si dovrà passare per forza a 7.0.6. Esiste un'alternativa, da usare a proprio rischio e pericolo, previo jailbreak: una patch gratuita installabile via Cydia .
Se avete iOS 5 (perché non potete o non volete aggiornare), siete al riparo dal problema.

Se avete un Macintosh con OS X 10.9 Mavericks da ieri è disponibile un aggiornamento risolutorio a 10.9.2. Si può aggiornare tramite il software App Store (che dovrebbe aver già fatto comparire una avvertimento in merito), o usare un browser di terze parti non afflitto dal problema e scaricare gli installer standalone dalla sezione Support del sito Apple . 
Le versioni precedenti di [Mac] OS X, 10.8, 10.7 e 10.6 non sembrano avere il bug relativo ad SSL, perché usano un'implementazione vecchia di SSL, ma per le prime due sono disponibili (dall'OS stesso o dal sito web di Apple) aggiornamenti di sicurezza, caldamente consigliati, che sistemano altri problemi. 

Se non siete sicuri se il vostro device iOS o Macintosh è vulnerabile o meno, potete verificarlo andando con il browser Safari su un sito web specifico, gotofail.com dove verrà mostrato un avviso (in rosso) se il problema sussiste.

Nota: se per qualche motivo non potete o non volete aggiornare il Mac o il dispositivo iOS il consiglio è di evitare l'utilizzo in reti WiFi pubbliche e aperte e di usare browser o client che hanno una propria implementazione sicura di SSL, come Google Chrome o Mozilla Firefox.