Apple ama indicare la sicurezza come uno dei principali vantaggi dei suoi dispositivi iOS, con vecchie e nuove funzioni che dovrebbero offrir loro un notevole vantaggio sui rivali Android. Ma iOS è davvero molto più solido di Android in termini di sicurezza? E se sì, perché?
Da una parte, Apple ha implementato una serie di impressionanti e spesso uniche funzioni di sicurezza in iOS che rendono molto più difficile comprometterlo. Dall’altra, ci sono fattori al di fuori del controllo di Apple che vanno generalmente a suo favore, come le debolezze insite nel sistema operativo Android. In combinazione, questi elementi aiutano a conferire a iOS una meritata reputazione in quanto a sicurezza.
Volti unici
Prima dell’evento di presentazione dell’iPhone 11 a settembre, si diceva che Apple avrebbe implementato una tecnologia Touch ID al di sotto dello schermo nei suoi nuovi telefoni per offrire un’alternativa al sistema Face ID introdotto nel 2017 con l’iPhone X. Alla fine ciò non è accaduto, ma in effetti è sempre sembrato improbabile. Dopotutto, quando Apple ha presentato il Face ID lo ha giudicato migliore del Touch ID.
La compagnia ha affermato che il Touch ID ha una probabilità su 50.000 di essere ingannato, mentre il Face ID ne ha solo una su un milione. Perché Apple avrebbe dovuto reintrodurre una tecnologia meno sicura di Face ID? Tornare al Touch ID sarebbe un passo indietro in termini di sicurezza, e andrebbe contro i valori della compagnia. L’unica ragione per cui Apple potrebbe implementare nuovamente il Touch ID sarebbe se riuscisse in qualche modo a renderlo molto più sicuro del Face ID.
I dispositivi iOS di Apple possiedono già un certo numero di componenti chiave che li aiutano a risultare sicuri. Uno di essi è il Seeure Enclave. Introdotto nel 2013 con l’iPhone 5S, è un’area separata del processore del dispositivo che viene usata per immagazzinare in sicurezza dati importanti come i login e i dati matematici usati per creare l’impronta Touch ID e il profilo Face ID. Vale la pena notare che nessuno dei rivali di Apple è riuscito a emulare la sicurezza di Face ID. Nella maggior parte dei dispositivi Android c’è una funzione chiamata Trusted Face, ovvero una forma di sbloccaggio con il riconoscimento facciale, ma usa solo un’immagine campione del volto e può quindi essere ingannata usando una fotografia. Non può essere impiegata per effettuare il login nelle app bancarie o per verificare gli acquisti, per il semplice motivo che non è sufficientemente sicura. Google ha introdotto una nuova funzione di riconoscimento facciale con il suo dispositivo Home Max chiamata Face Match, ma neanche quest’ultima è all’altezza di Face ID.
Come spiegato da Google stessa, “Face Match non è una funzione di sicurezza. Il dispositivo potrebbe non essere in grado di rilevare la differenza tra il volto, per esempio, e una fotografia dello stesso”.
Ciò non fa che dimostrare che, due anni dopo la sua introduzione, Face ID è ancora assai più avanti dei suoi rivali.
Sicurezza integrata
Non è una coincidenza che Apple sia stata l’unica compagnia capace di realizzare un sistema di riconoscimento facciale davvero sicuro: è infatti l’unica azienda che ha il controllo totale sia dell’hardware che del software dei suoi dispositivi. Solo Google vi si avvicina, ma la natura aperta di Android fa sì che Google non possa sapere con certezza se le funzioni che implementa in Android funzioneranno nello stesso modo quando le altre compagnie le modificheranno per i loro dispositivi. Sviluppando l’hardware e il software di iOS in modo che lavorino di concerto, Apple può creare funzioni di sicurezza semplicemente impraticabili per Android.
Dato che Apple sa esattamente su quale hardware dovrà girare il suo software, può aggiungere gli elementi hardware necessari affinché il software funzioni, e viceversa. Un esempio eccellente è Accedi con Apple. Tale funzione offre la possibilità di eseguire il login su app e servizi usando le credenziali iCloud o un account usa e getta creato da Apple. Ciò consente di evitare di fornire l’indirizzo email personale o i dati dei social network alle terze parti, che potrebbero poi usare tali dati per il tracciamento e le pubblicità mirate.
Accedi con Apple è multipiattaforma ed è possibile usarlo su Android e Windows oltre che sui dispositivi Apple, ma funziona al meglio sull’hardware Apple. Ciò dipende dal fatto che è possibile eseguire l’autenticazione usando Face ID, se il dispositivo lo supporta, rafforzando la già robusta inclinazione alla privacy di questa tecnologia con un’ulteriore dose di sicurezza.
Le politiche degli App Store
Ci sono altri fattori che entrano in gioco nel dare un vantaggio a Apple in termini di sicurezza, ovvero le falle nei vari App Store disponibili su Android. Per esempio, a settembre del 2019, Google è stata costretta a rimuovere dal suo Google Play Store due app che avevano un totale complessivo di un milione e mezzo di download perché erano ‘maligne’, dato che mostravano pubblicità indesiderate e registravano in ogni momento l’audio dal microfono.
Visto che erano entrambe app per i selfie, il comportamento era a dir poco sospetto, eppure una delle app era rimasta sullo store di Google per due anni. Questa non è l’unica occasione in cui app sospette o maligne sono state distribuite e scaricate su Android. Ad agosto del 2019, la compagnia per la sicurezza Kaspersky ha scoperto che una popolarissima app per Android chiamata CamScanner, scaricata più di 100 milioni di volte, conteneva un Trojan che poteva acquistare dei servizi in abbonamento per conto degli utenti senza che questi ne fossero a conoscenza, oltre a mostrare pubblicità invadenti sui loro dispositivi.
Il problema è che l’enorme numero di dispositivi Android attivi (a maggio 2019 è stato stimato che siano più di due miliardi e mezzo) fa sì che ci sia un numero ugualmente enorme di app che inondano i vari App Store. Mentre una grande compagnia come Google può avere le risorse necessarie a sorvegliare il suo Google Play Store con ragionevole competenza, ci sono oltre 400 altri App Store per Android e hanno tutti meno risorse per tenere a bada le app maligne. E persino con la sua enorme forza, Google non può chiaramente mantenere il suo App Store sicuro al 100%. Ad aggravare il problema ci sono gli aggiornamenti di Android, o meglio la loro mancanza. I produttori di smartphone e tablet Android sono ben noti per abbandonare i loro dispositivi dopo appena un paio di aggiornamenti al sistema operativo Android. Come dimostrato dalle analisi di Counterpoint Research, dopo un anno dalla commercializzazione dei loro nuovi dispositivi solo tre compagnie Android nell’intero mercato avevano aggiornato la metà dei loro dispositivi alla più recente versione del sistema operativo. Solo il 40% dei dispositivi Samsung erano stati aggiornati, e Huawei era ferma al 30%.
Il problema che ne deriva sta nel fatto che i dispositivi più vecchi rimangono vulnerabili alle falle di sicurezza. Gli utenti Android tengono i loro telefoni in media per 2,66 anni, secondo la compagnia HYLA Mobile.
Se solo il 50% dei dispositivi Android vengono aggiornati un anno dopo l’acquisto (nel migliore dei casi), in quale situazione si troveranno dopo quasi tre anni? Di nuovo, ciò dipende dalla mancanza di controllo che Google ha in confronto ad Apple. Dato che così tante compagnie Android gestiscono le loro specifiche versioni di Android, Google fatica a costringerle ad aggiornarle. Apple non ha di questi problemi. Sebbene nessun sistema possa essere sicuro al 100%, con Apple si è sicuramente in buone mani.
