È la sicurezza al centro del nuovo aggiornamento di iOs rilasciato in queste ore da Apple. La nuova release del sistema operativo mobile, la 9.3.4, dovrebbe essere con tutta probabilità l’ultima prima dell’arrivo di iOs 10, atteso a settembre. L’update pesa 25,1 megabyte ed è disponibile sia via Ota (over-the-air) sia tramite iTunes. Come spesso succede, Apple è stata scevra di particolari e si è limitata a parlare di fix riguardante la sicurezza. L’unico dettaglio emerso riguarda la correzione del jailbreak exploit svelato da Pangu. Per questi motivi, tutti i possessori di iPhone e iPad dovrebbero installare l’update il prima possibile. Il nuovo aggiornamento rilasciato dalla Mela arriva a circa due settimane di distanza da iOs 9.3.3, il quale conteneva anche una serie di correzioni di bug e di migliorie sotto l’aspetto delle prestazioni complessive di sistema.
Ma gli occhi degli utenti Apple sono ormai tutti puntati su iOs 10. Tra le principali novità della prossima major release della Mela ci sarà la pervasività dell’assistente vocale Siri, che potrà essere integrato dagli sviluppatori nelle proprie applicazioni. Il colosso di Cupertino ha infatti messo a disposizione Sirikit, che consente la progettazione di app compatibili con l’assistente vocale per inviare messaggi, telefonare, cercare foto, prenotare viaggi, effettuare pagamenti e molto altro.
Come detto iOs 10 arriverà a settembre, forse in contemporanea con una nuova (e del tutto inedita per Apple) iniziativa: un programma di bug bounty. A differenza di altri colossi dell’hi-tech, infatti, la Mela non ha mai istituito progetti di questo genere per “incoraggiare” ricercatori e sviluppatori a trovare falle nei propri sistemi operativi. Per rimediare, il gigante californiano ha deciso di fare le cose in grande, mettendo a budget anche 200mila dollari per chi riuscirà a scovare le vulnerabilità più gravi.
Vale a dire bug che si annidano a livello del firmware e che regolano l’avvio sicuro (secure boot) dei dispositivi. La conferma del nuovo programma è arrivata direttamente da Ivan Krstic, capo della divisione Security Engineering and Architecture di Apple, il quale ha annunciato la novità di fronte alla platea della conferenza Black Hat, dedicata al mondo dell’hacking. L’azienda si è trovata, secondo Krstic, a fare i conti con la realtà: i tester interni e le società di sicurezza partner stanno facendo sempre più fatica a trovare vulnerabilità e l’apertura all’esterno è stata inevitabile.
Le categorie su cui si concentrerà la caccia al bug saranno cinque e saranno caratterizzate da premi di diverso peso. Come detto, si partirà dalla ricompensa maggiore, di 200mila dollari, per falle nel firmware. I ricercatori che troveranno bachi capaci di consentire l’estrazione di dati dalla componente Secure Enclave riceveranno invece 100mila dollari.
Scendendo di un livello si arriva all’esecuzione di codice arbitrario maligno con alti privilegi (50mila dollari), per arrivare poi all’accesso di account iCloud sui server Apple (ancora 50mila) e alle falle che consentono di leggere i dati contenuti in un processo di una sandbox al di fuori dalla stessa zona sicura. L’unica pecca è che nelle prime fasi il programma sarà solo su invito (va bene l’apertura al mondo esterno, ma non si esageri), per garantire alla società californiana la partecipazione esclusiva di ricercatori di alto livello.