Alcuni dei 24 inossidabili lettori di Cassandra avranno seguito, nelle chat di sviluppatori, di esperti di computer forensics o di hardware, una questione che sulla stampa estera specialistica ha dato luogo a una manciata di articoli, ma che sui media tradizionali, particolarmente quelli italiani, è passata completamente sotto silenzio.

La notizia è tecnica e si può riassumere dicendo che la bootrom della maggior parte dei prodotti Apple, inclusi gli iPhone (dal vecchio iPhone 4 al recente iPhone X), ha un bug che permette di prendere il controllo del telefono prima del boot di iOS.

In pratica puoi far fare al telefono quello che vuoi, incluso cose come leggere i file anche se il telefono è bloccato. Anche per dei prodotti che (meritatamente, credetemi) hanno la reputazione di essere molto più sicuri di altri.

La vulnerabilità si chiama Checkm8, e l'exploit, cioè il software che permette (ai buoni) di eseguire analisi forensi prima impossibili, e ad altri Cassandra non osa pensare cosa, si chiama Checkra1n (con "1" non con "l").

Spunti di approfondimento:

Microsoft avvisa: attenzione all'aggiornamento KB501270

Dell, l'aggiornamento del BIOS impedisce l'avvio del PC

Guerra Fredda nell'Internet delle Cose

Cellebrite attacca Signal, il creatore di Signal rende tossico Cellebrite

Cassandra, che vede sempre le cose in prospettiva, non è interessata a questo bug, né tantomeno ai device che ne sono suscettibili, al loro numero, alla loro marca o alla reputazione della marca stessa (di cui in passato è stato anche sviluppatore). L'interesse, anzi la preoccupazione, è che l'interpretazione che fa del silenzio su quest'evento sia esatta.

Pensateci. La bootrom, pur essendo un bug software, fa parte dell'hardware, poiché non è patchabile. È quindi un bug hardware, che ammette solo due soluzioni: la prima, sostituire il prodotto; la seconda, far finta di nulla, sperando che nessuno si arrabbi troppo, rimediando all'eventuale pubblicità negativa ingaggiando una reputation agency.

Potendo capitare in qualsiasi prodotto che contenga software, questo sarà probabilmente, nel prossimo futuro, il normale approccio di tutti i produttori di oggetti col cuore informatico come IoT, elettrodomestici, automobili, droni, smartphone, televisori, LAWs (Armi Autonome Letali), qualsiasi cosa.

Ma gli utenti finali? Quelli che hanno in mano un oggetto divenuto improvvisamente pericoloso? Normalmente li chiamano consumatori, cioè esseri eminentemente passivi e controllabili. Ma se diventassero proprietari arrabbiati, come avrebbero tutto il diritto di fare, e membri di una class action? E se questo succedesse per ogni prodotto a larga diffusione che si scoprisse irrimediabilmente fallato?

Cosa sperare per il futuro? Che i consumatori reagiscano davvero? Ma dai. Che il legislatore italiano incida efficacemente sul problema? Magari, ma il passato insegna. Che l'Europa incida sulla realtà come nel caso degli alimentatori telefonini? Potrebbe essere, ma è come sperare che, dopo aver sconfitto un topolino, riesca a far polpette di un branco di T-Rex inferociti.

Ma una cosa fa paura anche ai T-Rex: le class action. Adiconsum, Altroconsumo, Codacons, siete in linea?