Attacco al walled garden: perché Apple non vuole app store alternativi sull’iPhone

Un’analisi degli argomenti con cui l’azienda difende la sua egemonia sulla piattaforma iOS, contro chi la vorrebbe aperta alle app non verificate e più simile ad Android
5 minuti di lettura

L’impossibilità di installare applicazioni di terze parti è una delle caratteristiche fondamentali su cui Apple ha da sempre basato la sicurezza e l’affidabilità dei sistemi operativi di iPhone e iPad. È il concetto del walled garden, il giardino recintato che grazie alle sue fortificazioni digitali (fatte di scelte tecniche e regolamenti ferrei cui gli sviluppatori di app non possono sottrarsi) tiene alla larga dall’ecosistema iOS malware e virus, limitando i rischi alla sicurezza e alla privacy degli utenti.  È però anche un recinto ben sorvegliato su cui Apple ha il controllo totale e di cui l’azienda può decidere unilateralmente le regole di selezione all’ingresso. Se da una parte questa posizione garantisce una maggiore sicurezza della piattaforma rispetto ad Android, dall’altra pone questioni complesse sul ruolo ambivalente dell’azienda, che è custode della piattaforma dove le sue applicazioni competono con quelle di sviluppatori terzi. 

Sideloading, vituperio degli utenti
Negli ultimi due anni le critiche a questo modello si sono concretizzate in varie forme e su più fronti. Negli Stati Uniti tiene banco la causa legale contro Epic. Secondo l’azienda di gaming, nota soprattutto per il videogioco Fortnite, Apple dovrebbe permettere agli sviluppatori di caricare applicazioni su iPhone e iPad attraverso piattaforme alternative all’App Store, oltre a concedere la possibilità per gli sviluppatori utilizzare sistemi di pagamenti alternativi a quello proprietario di Apple. Il verdetto è atteso per la fine dell’estate. 

In Europa l’egemonia di Apple sull’ecosistema delle app è invece messa in discussione dal Digital Market Act (DMA) e dal Digital Services Act (DSA), l’insieme di norme che la Commissione Europea vorrebbe introdurre entro il 2022 per regolamentare i colossi della tecnologia come Facebook, Google, Amazon e appunto Apple. Alcuni passaggi del DMA, per come sono scritti oggi, finirebbero in particolare per forzare Apple ad abilitare il sideloading, e cioè la possibilità per gli utenti di caricare applicazioni di terze parti senza passare per l’App Store, aggirando così il sistema di revisione di Apple. In altre parole, qualcosa di molto simile a ciò che chiede Epic.

In un recente intervento virtuale alla conferenza Viva Technology 2021 di Parigi, il CEO Apple Tim Cook ha commentato il regolamento e ha toccato proprio il tema del sideloading, spiegando che “il linguaggio utilizzato al momento dal DMA forzerebbe Apple ad abilitare” questa procedura sull’iPhone. Una pratica che secondo Cook “distruggerebbe la sicurezza dell’iPhone”, vanificando nel processo “la serie di iniziative per la privacy implementate da Apple attraverso l’App Store”, come ad esempio le soluzioni contro il tracking pubblicitario introdotte da Apple con iOS 14.5.

Un documento per approfondire
La partecipazione di Tim Cook alla conferenza francese, come spesso accade in questi casi, era il preludio a una spinta comunicativa più ampia. Sul solco dei commenti del CEO, oggi Apple ha infatti pubblicato un lungo documento,
“Building a Trusted Ecosystem for Millions of Apps”, in cui prova a spiegare come il sistema dell’App Store sia fondamentale per garantire la sicurezza e l’affidabilità di iOS, nonché per abilitare le protezioni della privacy che differenziano l’iPhone dalle piattaforme concorrenti. 

In particolare, spiegano da Apple, abilitare il sideloading di app di terze parti sull’iPhone porgerebbe il fianco alla diffusione incontrollata di malware, ransomware e altre forme di software malevolo. Infezioni che, spiegano da Cupertino, sono quindici volte più diffuse sul sistema Android. E non si tratta unicamente di installare applicazioni truffaldine al di fuori dello Store, dicono da Cupertino: il sideloading minerebbe l’autorevolezza dell’App Store in quanto tale. Il potenziale di attacco su due miliardi di utenti che improvvisamente potessero installare qualsiasi app senza controllo, dicono da Apple, favorirebbe inevitabilmente lo sviluppo di una vera e propria industria del malware per iOS. A questo punto si può controbattere in molti modi, rifiutando ad esempio su base etica l’aspirazione di Apple ad ergersi a controllore al posto dell’utente. Ciò nonostante, è innegabile che le motivazioni di Cupertino, nel caso specifico, si basino su considerazioni realistiche sulla sicurezza informatica.

Sideloading sì, ma per pochi? 
Perché allora non immaginare una modalità speciale per il sideloading, nascosta dietro una serie di opzioni e di pop-up di conferma volti a scoraggiare gli utenti meno esperti? Le funzioni di sicurezza di sistema potrebbero essere imposte anche sulle app caricate in questo modo (come fa Android), mentre si lascerebbe agli utenti la possibilità di accedere a tutto il software che vogliono senza limitazioni. In fondo, dicono i critici, è ciò che già si può fare sul Mac, una piattaforma considerata generalmente molto sicura. 

Apple controbatte a questo punto in maniera pragmatica: il Mac e l’iPhone, dicono, sono sistemi di natura completamente diversa. Intanto dal punto di vista numerico, perché il bacino di utenti di iOS è superiore di almeno un ordine di grandezza rispetto a macOS. E poi dal punto di vista della quantità di dati che affidiamo ai due dispositivi. A differenza del Mac, l’iPhone ce lo portiamo sempre in tasca con il GPS attivo, lo usiamo per accedere a una miriade di reti differenti, gli affidiamo i dati sulla nostra salute, le nostre informazioni per i pagamenti. Ha poi un microfono e una telecamera che ci potrebbero spiare in qualsiasi momento, se un malintenzionato dovesse prenderne il controllo attraverso un malware. In altre parole violare la sicurezza di un iPhone può avere conseguenze assai più nefaste. Così il rischio calcolato che si può applicare a un Mac per Apple non è accettabile nel caso di uno smartphone.

Tecnica e policy
C’è poi un altro aspetto fondamentale, dicono da Cupertino, ma più sottile. I sistemi di sicurezza di iOS si basano su due livelli: uno di natura puramente tecnica (i pop-up per abilitare il tracking o la localizzazione, il sistema dei permessi e così via); uno che attiene invece alle scelte di policy, che si possono verificare solo attraverso la revisione delle app. 

Così un’app caricata tramite sideloading non può bypassare comunque il livello tecnico di sistema (non può accedere alla location senza chiedere il permesso, ad esempio), ma può sfruttare il livello di policy (nella pratica: il testo del popup che invita ad abilitare l’accesso al dato sulla posizione) per ingannare l’utente e accedere a informazioni personali altrimenti protette. Questo tipo di violazioni, dicono da Apple, si possono intercettare solamente attraverso il sistema di revisione dell’App Store. Così un’app come quella del nostro esempio che volesse accedere alla location, ma fosse priva di una funzione che giustifichi questa necessità, non supererebbe mai la fase di revisione precedente alla pubblicazione, ma potrebbe tranquillamente ingannare l’utente che la caricasse in autonomia grazie al sideloading. 

Tesi, antitesi, sintesi
Gli argomenti portati sul tavolo da Apple sono ragionevoli, spesso fattuali, in buona parte condivisibili. Incluso il tema fondamentale: se qualcuno non è d’accordo con le politiche dell’App Store e con le regole che governano il Walled Garden, vuole un dispositivo completamente aperto e non ritiene necessari i sistemi di sicurezza imposti da Apple, può scegliere di non comprare un iPhone. L’alternativa esiste già, dicono da Cupertino senza mezzi termini, e si chiama Android. 

Tuttavia qui si pone un tema fondamentale, di diversa natura: la maggior parte delle posizioni che Apple difende perché funzionali alla sicurezza degli utenti coincidono spesso con gli interessi economici dell’azienda. In altre parole: è vero che il sistema di approvazione delle app sullo Store è più sicuro del sideloading, ma è vero anche che questo stesso sistema garantisce ad Apple (legittime) commissioni sul prezzo di vendita delle app. 

Su questo punto la difesa di Apple è più debole e si limita a reiterare che le posizioni dell’azienda non hanno niente a che fare con gli aspetti economici dell’App Store, e muovono unicamente dalla volontà di schierarsi dalla parte degli utenti. Una motivazione che Apple vorrebbe prendessimo per buona sulla parola, a differenza di tutte le altre più fattuali, ma che avrebbe certamente più forza se fosse coadiuvata da una serie di concessioni e compromessi, anche di natura economica. 

Qui seguiamo Apple da molto tempo, e possiamo confermare che - come in molti altri casi - per Cupertino la questione è puramente di principio: se si può difendere la sicurezza e la privacy degli utenti e continuare in questo modo a generare il proprio onesto fatturato, non vi è alcuna ragione di rinunciare a nessuna delle due cose. Qui però la posta in gioco è più complessa e importante, e forse per una volta Apple dovrà concedere qualche compromesso inevitabile sui principi del proprio business per salvare altri principi, quelli che attengono alla sicurezza dell’utente e alla privatezza dei suoi dati.