I certificate enterprise di iOS sono stati creati da Apple per permettere alle grandi aziende corporate di gestire asset di migliaia di iPhone e iPad in modo centralizzato e automatico; in teoria, non si potrebbero usare per nessun altro scopo, ma nel mondo reale vengono sfruttati per eludere le protezioni di iOS. Per esempio, per installare app piratate (con tutti i rischi che ne conseguono) oppure -come nel caso di Google e Facebook- per studiare nei minimi dettagli il comportamento degli utenti online e nelle app.
[related layout=”big” permalink=”https://www.melablog.it/post/204954/cambridge-analytica-boicottano-facebook”][/related]
Ma c’è di più, e di peggio. Entrambe le società infatti corrispondevano una qualche forma di pagamento ai ragazzi e agli adulti che entravano a far parte de programma; 20$ al mese nel caso di “Facebook Research”, e gift card omaggio per Google “Screenwise Meter”. Il sistema si basava su invito diretto, e agli utenti era data facoltà di disiscriversi e disinstallare il certificato in qualunque momento.
Il problema è che sfruttavano uno strumento ufficiale di Cupertino in modi esplicitamente vietati per bypassare i meccanismi di protezione della privacy degli utenti. Ecco perché la mela è dovuta intervenire revocando i certificati concessi.
Facebook afferma di non aver compiuto abusi, ma intanto ha dovuto subire l’ira funesta di Apple, che scrive:
“Abbiamo progettato il nostro Programma per Sviluppatori Enterprise col solo scopo della distribuzione interna delle app all’interno di una società. Facebook ha utilizzato la propria adesione per distribuire app rastrella-dati a scapito dei consumatori, il che costituisce una chiara violazione degli accordi con Apple. Qualunque sviluppatore che utilizzi i propri certificati aziendali per distribuire app ai consumatori vedrà la revoca di suddetti certificati, a protezione degli utenti e dei loro dati.”
Più cauta Google, che invece si è scusata formalmente per l’accaduto:
“L’app iOS Screenwise Meter non avrebbe dovuto operare sotto il Programma per Sviluppatori Enterprise di Apple. Si è trattato di un errore e ci scusiamo. Abbiamo disabilitato quest’app sui dispositivi iOS. L’app era su base completamente volontaria e così è sempre stata. Siamo stati chiari sin da subito con gli utenti riguardo l’uso dei dati che veniva fatto nell’app, e non abbiamo alcun accesso ai dati crittografati nelle app e sui dispositivi; inoltre, gli utenti potevano uscire dal programma in qualunque momento.”
Oramai comunque il danno è fatto, e occorre capire cosa fare e come impedire che simili problemi si ripetano in futuro. Anche perché, nel frattempo, con la revoca del certificato hanno smesso di funzionare anche tutte le altre app interne, anche quelle utilizzate quotidianamente dagli impiegati di Facebook per svolgere il proprio lavoro, e per cui esiste per l’appunto il Programma Sviluppatori Enterprise.
Facebook sta “lavorando gomito a gomito” con Apple per ripristinarne il funzionamento, ma il messaggio è chiaro: con la privacy degli utenti, non si scherza e c’è da scommettere che con iOS 13 assisteremo ad un ulteriore stretta sulla sicurezza. Scommettiamo?