Non è un bel periodo per la sicurezza informatica sui dispositivi mobili. Non bastavano le violazioni a Skype, Viber e WhatsApp a far tremare i fautori della riservatezza dei dati personali durante le comunicazioni, ora ci si mette anche Apple, rea di non proteggere a dovere la privacy dei suoi clienti. A sostenere una tale tesi è Quarkslab, azienda parigina che si occupa di sicurezza su larga scala, con focus particolare al panorama mobile. “La pretesa che Apple non possa leggere i messaggi criptati di iMessage è falsa – dicono gli sviluppatori francesi – potrebbe farlo benissimo, proprio come tutti sospettavano”.

La dichiarazione è stata rilasciata alla conferenza “Hack in the Box ” di Kuala Lumpur,  incontro tecnico sull’attuale panorama dei rischi derivanti dall’utilizzo delle nuove tecnologie, conclusosi ieri con l’intervento di Joe Sullivan, responsabile della sicurezza di Facebook. Per tranquillizzare i presenti, Quarkslab ha detto che ad oggi non vi è prova che la Apple o altri (il Governo) stiano leggendo le comunicazioni su iMessage ma che non avrebbero alcun problema nel farlo, se solo volessero. L'inghippo risiederebbe nella gestione della crittografia utilizzata da Apple, la quale prevede che ad ogni dispositivo sia assegnata una chiave privata e una pubblica. Quella pubblica è nelle sole mani di Apple che, in teoria, potrebbe intercettare e decodificare gli iMessage senza possedere direttamente il dispositivo fisico, visto che ne controlla lei stessa tutta l’infrastruttura.

Per Cyril Cattiaux, del team di Quarkslab: “Il fatto è che non si può controllare che la chiave pubblica che si sta utilizzando sia specifica per un certo destinatario e non, ad esempio, quella di un dipendente di Apple che sarebbe quindi in grado di decifrare tutti i messaggi di quel dispositivo”. Apple potrebbe quindi cambiare chiave pubblica quando vuole, con la possibilità di decifrare senza problemi il contenuto di un iMessage. Nel mese di giugno l’azienda aveva affermato  come le comunicazioni tramite iMessage fossero protette con una crittografia end-to-end , tali quindi da non poter essere decodificate nemmeno dalla società stessa.

Come aveva scritto Techcrunch, già a settembre i ricercatori di Quarkslab avevano informato dell’evidente problema nella gestione della chiave pubblica da parte di Apple. In una breve presentazione chiamata “Come Apple può leggere i tuoi iMessage e come prevenirlo ” il team spiega per bene il tipo di attacco ai quali si potrebbe incorrere utilizzando il servizio di messaggistica della Mela.