Cerca nel blog

2010/07/08

Dettagli sugli account iTunes bucati

400 account iTunes violati da uno sviluppatore disonesto. Pochi, ma smontano il mito del giardino cintato perfetto e sicuro


Il 4 luglio scorso il negozio online iTunes di Apple s'è trovato con una classifica anomala: 40 delle 50 applicazioni più vendute nel settore libri dell'App Store appartenevano a un unico sviluppatore, il vietnamita Thuat Nguyen. Come avevo segnalato, si trattava di una frode: lo sviluppatore aveva preso il controllo di un certo numero di account iTunes di altri utenti e li stava usando per acquistare con i soldi altrui le applicazioni che aveva messo lui stesso su iTunes, in modo da incassarne i proventi. Altri sviluppatori fraudolenti stavano facendo lo stesso.

Una storia poco felice per Apple, perché ha messo in luce la scarsa sicurezza dei controlli su chi vende applicazioni nell'App Store: la società del truffatore era registrata nello Store come "mycompany" e il suo sito era una pagina vuota. Ci si chiede come abbia fatto un profilo del genere ad essere ammesso come venditore.

Ora sono emersi altri dettagli: secondo Apple, citata dalla BBC, Nguyen aveva violato circa 400 account di iTunes ed è stato espulso dall'App Store insieme alle sue applicazioni fraudolente. La società della Mela ha rafforzato la propria sicurezza: d'ora in poi chiederà più spesso agli utenti di immettere il codice di sicurezza della loro carta di credito durante gli acquisti su iTunes. Apple ha precisato inoltre che i suoi server non sono stati penetrati.

C'è però chi, come TheNextWeb, segnala, dati alla mano, che altri venditori nell'App Store stanno tuttora frodando gli utenti nello stesso modo, e fa anche i nomi delle applicazioni e degli sviluppatori fraudolenti (World War, Charismaist, Storm8 e altri), dubitando (sulla base delle segnalazioni ricevute) che i frodati siano soltanto i 400 indicati da Apple.

Può sembrare che qualche centinaio di utenti frodati sia trascurabile rispetto ai circa 150 milioni di iscritti ad iTunes: basta non essere uno di loro. Per i malcapitati, infatti, scatta la necessità di contattare la società emettritrice della loro carta di credito, bloccare la carta stessa e contestare gli addebiti non autorizzati. Apple non ha bloccato i pagamenti e non fornisce rimborsi, anche perché si presume che i codici delle carte di credito siano stati carpiti agli utenti mediante attacchi o truffe avvenute al di fuori dell'App Store.

Purtroppo la proverbiale reticenza di Apple a fornire informazioni in materia di sicurezza in questo caso rischia di essere un autogol in termini d'immagine anche se gli account sono stati soffiati agli utenti in modo estranei ad Apple. La serietà dell'App Store ne esce indebolita, anche perché ora molti stanno facendo le pulci a questo mercato apparentemente ipercontrollato e selezionato e si chiedono, per esempio, come è possibile che un singolo sviluppatore, Brighthouse Labs, abbia sviluppato 4568 applicazioni per l'App Store. E che nessuno di Apple abbia notato la cosa.

Visto il persistere di queste anomalie, è tuttora consigliabile verificare i propri acquisti recenti su iTunes, rimuovere dal sito Apple (tramite il programma iTunes) i dati della propria carta di credito e cambiare password di accesso al servizio, scegliendone una più robusta e difficile.

Fonti aggiuntive: Slashdot, Engadget, ZDNet, Lifehacker.

Nessun commento: