Le funzionalità raggruppate sotto il nome Screen Time dovrebbero proteggere i dispositivi iOS e macOS dei bambini bloccando app o siti Web. Queste protezioni sono tutt’altro che infallibili, con numerosi difetti scoperti nel corso degli anni. IL giornale di Wall Street discute in un articolo un difetto finora poco conosciuto, dove l’aggiunta di pochi caratteri alla barra degli URL di Safari consente di aggirare tutte le protezioni Screen Time e accedere a qualsiasi sito web, anche quelli bloccati dai genitori. La buona notizia è che Apple risolverà il difetto in una futura versione di iOS. La brutta notizia è che la conosceva da tre anni.
Joanna Stern spiega infatti di aver ricevuto informazioni su questa falla in Screen Time da una coppia di ricercatori sulla sicurezza, Andreas Jägersberger e Ro Achterberg. Il primo ha scoperto un bug nel 2020 che permette di aggirare le restrizioni in Safari. Hanno presentato la loro scoperta al team di sicurezza di Apple nel marzo 2021 e hanno ricevuto rapidamente una risposta in cui si affermava che non si trattava di una vulnerabilità di sicurezza e che avrebbero dovuto segnalarlo tramite Feedback, lo strumento Apple che consente di inviare segnalazioni di bug o suggerimenti. Questo è ciò che hanno fatto immediatamente e non hanno ricevuto assolutamente alcun feedback.
Pochi mesi dopo, i due ricercatori contattarono gli specialisti della sicurezza Apple per cercare di vedere le cose più chiaramente. Hanno ricevuto la stessa risposta che non si trattava di un problema di sicurezza di iOS. Il che è falso, secondo loro, perché lo stesso bug che permette di aggirare le restrizioni sul tempo di visualizzazione potrebbe essere utilizzato per attacchi mirati che potrebbero facilmente oltrepassare i sistemi di sicurezza implementati nelle aziende o negli enti governativi. Le loro argomentazioni non furono ascoltate e i successivi tentativi di comunicare con Apple fallirono.
Per questo hanno deciso, tre anni dopo, di contattare il giornalista di giornale di Wall Street e presentargli le loro ricerche. Come sempre, il quotidiano ha contattato Apple per un commento e questa volta la risposta non si è fatta attendere. L’azienda ha riconosciuto il problema e ha promesso una soluzione rapida, pur sottolineando che sono stati apportati miglioramenti a Screen Time in iOS 17.5.
Tanto meglio se la scappatoia verrà finalmente colmata, anche se la mancanza di reazione da parte di Apple prima del coinvolgimento della stampa è un grosso problema. La falla potrebbe essere stata sfruttata per tre anni, o anche di più, e l’allarme di due ricercatori di sicurezza avrebbe dovuto essere più che sufficiente per chiuderla.
