Qualche tempo fa vi parlai di Sunrise, un calendario nato per iOS, precisamente per iPhone. Il filone dei calendari è sempre molto florido nell’App Store, evidenziando il fatto che il calendario di base del sistema operativo, seppur modificato da iOS 7, è ancora poco gradito.
Ma non è questo ciò che voglio raccontarvi. Una email spedita a tutti dalla società avverte che il database del calendario è stato bucato portando alla sottrazione di molte password collegate al servizio di iCloud. Quindi se avete effettuato il login di iCloud in Sunrise vi conviene cambiare password.
La cosa di cui si dovrebbe discutere è il fatto che viene dato a uno sviluppatore il potere di archiviare i dati di accesso ad iCloud. In un tema riguardante la sicurezza, come è possibile che Apple offra agli sviluppatori questa possibilità?
I servizi non dovrebbero mai accedere alle password e soprattutto dovrebbero prevedere dei sistemi che rendano impossibile la lettura dei dati. L’incidente di Sunrise dovrebbe far pensare molto, poiché non ha fatto altro che far abbassare la fiducia che si ha per le applicazioni che richiedono dati sensibili.
Aggiornamento: questa mattina il CEO di Sunrise ha spedito una seconda email per fare chiarezza. Nel messaggio dichiara che l’app non ha accesso alle password degli utenti, ma usa un token che serve a collegarsi con servizi come Facebook e iCloud. Questi token sono finiti in mani esterne. Il tutto si dovrebbe tradurre non con un problema di sicurezza, ma con delle scocciature, in quanto è stato generato un elenco di email che qualcuno potrebbe usare per inviare spam o email di phishing. Il problema, quindi, si è ridimensionato.
Vergognoso ed inquietante! Anche io utilizzo un’agenda esterna. Tremo ora a pensare a quali altre App potrebbero avere accesso alla password iCloud! Questo è un fatto veramente assurdo!!!!
Ma siamo proprio sicuri che sia così?