E se l’applicazione di Dropbox per Mac fosse in grado di “hackerare” il sistema operativo della Mela? Il sospetto sta circolando in Rete da diverse ore ed è stato alimentato da una serie di blog post e di tweet, secondo cui il client desktop del servizio cloud aggirerebbe le policy di autorizzazione della piattaforma software per Mac. Ma non solo, alcuni utenti molto esperti di sicurezza hanno sottolineato come Dropbox richieda in certi casi l’inserimento della password del computer “per funzionare correttamente”. Questa eventualità è stata negata con forza dall’azienda, ma per esempio uno sviluppatore chiamato “toto” ha pubblicato su Twitter uno screenshot di una finestra di dialogo (non di macOs, secondo molti) in cui effettivamente Dropbox chiede all’utente di inserire la chiave di accesso.
Ben Newhouse, del team di sviluppo del client desktop della piattaforma cloud, ha scritto in un forum che l’azienda “non ha accesso e non registra le password. La finestra di dialogo che si vede è un’Api nativa di Os X”. Ma, pur negando questa eventualità (maggiori informazioni qui), Newhouse ha approfittato della discussione generata dalla Rete per fare un deciso mea culpa. “Dobbiamo certamente migliorare dal punto di vista della comunicazione dell’integrazione” tra le piattaforme.
“Chiediamo l’autorizzazione una volta ma non descriviamo cosa stiamo facendo o perché. Lavoreremo su questo aspetto”, ha aggiunto Newhouse. Che prosegue: “In gioco ci sono soltanto i privilegi che effettivamente usiamo, ma sfortunatamente alcuni di questi non sono granulari come avremmo voluto […]. L’accesso elevato è sfruttato solo quando le Api filesystem già implementate falliscono. Stiamo lavorando da tempo con Apple per rimuovere questa dipendenza e a breve dovremmo arrivare a una soluzione”.
Fonte: Twitter, @mrtoto
Ma le spiegazioni di Newhouse non hanno convinto pienamente gli sviluppatori più esperti. Su Hackernews si parla esplicitamente di “hackeraggio” e viene mostrata la finestra del menu “Sicurezza e privacy” di un Mac, in cui si vede l’applicazione di Dropbox inserita nella tab “consenti alle app elencate di seguito di controllare il tuo computer”. “Non vi siete mai chiesti come sia finita qui? Avreste scelto di aggiungere l’applicativo se Dropbox vi avesse chiesto autorizzazioni di questo genere?”, chiedono gli autori del post alla community.
Applehelpwriter parla addirittura di “attacco Sql” e sullo stesso forum di Hackernews gli utenti vogliono maggior chiarezza da Dropbox, per capire il motivo di una tale pervasività delle autorizzazioni (tra l’altro spesso mai richieste in modo esplicito). La principale preoccupazione della community è che un controllo così ampio a livello di sistema possa aprire le porte ai malware.
Aggiornamento
Pubblichiamo una dichiarazione di un portavoce dell’azienda. “Dropbox, come altre app, richiede permessi addizionali per attivare alcune funzionalità e integrazioni. Il sistema operativo di un dispositivo potrebbe chiedere agli utenti di inserire le loro password come conferma. Dropbox non può visualizzare le chiavi né può riceverle. Notizie di Dropbox che modifica le interfacce o che preleva password sono completamente false. Ci rendiamo conto che possiamo fare di meglio nel comunicare come queste autorizzazioni vengono utilizzate, stiamo lavorando proprio in questa direzione”.