Un giudice federale della California ha ordinate ad Apple di fornire assistenza all’FBI per permetterle di ispezionare un iPhone 5c bloccato che è stato usato da Syed Rizwan Farook, uno dei terroristi indagati per l’attacco del 2 dicembre scorso a San Bernardino.

Questa richiesta, effettuata sotto le legge chiamata All Writs Act, movimenterà il dibattito sui tentativi dei governi di costringere i produttori di tecnologia a inserire backdoor per sbloccare dispositivi e comunicazioni cifrate.

Apple da sempre contrasta questa impostazione, sostenendo di voler mettere al primo posto la privacy e la sicurezza degli utenti.  Una volta introdotta una backdoor, non c’è modo di essere certi che non venga abusata da governi diversamente democratici o che per qualche motivo venga scoperta da terze parti e divulgata, minacciando la sicurezza di tutti gli utenti.

Apple sta combattendo una battaglia legale simile presso la corte federale di New York, dove il Dipartimento di Giustizia ha richiesto assistenza nello sbloccare l’iPhone 5s di un sospetto spacciatore di metamfetamine.

La procuratice Eileen M. Decker ha depositato un’istanza presso la giudice Sheri Pym della corte del Central District of California, sostenendo che nonostante un mandato di perquisizione e l’autorizzazione del datore di lavoro di Farook, che è proprietario del telefono, le forze di polizia non sono state in grado di accedere ai contenuti cifrati del dispositivo, per via del codice di sblocco.

l’FBI chiede di disattivare la cancellazione automatica, i ritardi crescenti dopo l’inserimento di un codice sbagliato e di permettere di inviare le password senza doverle digitare sullo schermo

Farouk avrebbe usato un codice di sblocco formato da quattro cifre, cioè 10.000 combinazioni, ma potrebbe avere anche impostato il dispositivo per cancellare completamente la memoria dopo 10 tentativi falliti, anche se non c’è modo di sapere se questa protezione sia attiva.

L’istanza sostiene che Apple dovrebbe essere in grado di bypassare la password su alcuni suoi dispositivi e di disabilitare le funzioni di cancellazione automatica, e l’operazione non sarebbe irragionevolmente gravosa, visto che l’azienda si occupa di sviluppo software e le ore impiegate sarebbero comunque rimborsate dalle autorità.

La richiesta quindi non è di decifrare il contenuto del telefono, ma di rendere più agevole un attacco brute-force, e questo potrebbe rendere più difficile per Apple opporre resistenza in tribunale.

La legge “All Writs Act” consente alle autorità di emettere ordinanze per obbligare persone fisiche e giuridiche a fornire assistenza nelle indagini, a patto che le richieste siano ragionevoli e non in contrasto con la legge, ma gruppi di difesa dei diritti civili come la Electronic Fronteer Foundation evidenzia che una sentenza della Corte Suprema afferma che una corte non può usarla per bypassare altre leggi Costituzionali, o richiedere sforzi che siano “irragionevolmente gravosi”.

La giudice Pym ha ordinato ad Apple di fornire un software firmato con i certificati digitali dell’azienda e che sia in grado di disabilitare la cancellazione automatica, eliminare i ritardi crescenti aggiunti dal software dopo l’inserimento di un codice errato, e permettere l’inserimento della password attraverso la porta fisica del telefono per evitare di doverli digitare sullo schermo.

Kevin S. Bankston, direttore del New America’s Open Technology Institute, ha dichiarato in un’email: “in pratica, la corte sta ordinando ad Apple di costruire un malware ad hoc per compromettere la sicurezza di un proprio dispositivo, e poi firmarlo con un certificate digitale di Apple in modo che l’iPhone lo consideri affidabile”, come un qualsiasi aggiornamento.

la corte sta ordinando ad Apple di costruire un malware ad hoc per compromettere la sicurezza di un proprio dispositivo

Bankston afferma di non sapere se Apple sia in grado tecnicamente di fare ciò, ma se una corte può costringerla a farlo, potrebbe fare lo stesso con ogni altro vendor di tecnologia, spianando la strada all’installazione remota di malware attraverso gli aggiornamenti automatici del telefono, computer o altro dispositivo hardware o software.

Apple non ha ancora commentato l’istanza, e ha cinque giorni lavorativi per proporre appello alla corte se ritiene che l’ordine sia “irragionevolmente gravoso”.

Secondo Bankston, Apple fa bene a resistere alla richiesta, e afferma: “Bisogna tracciare una linea qui: il governo non può costringere un’azienda a compromettere la sicurezza dei propri prodotti, specialmente sulla base di una legge generica e pigliatutto che risale al 1789”.

AGGIORNAMENTO, 17/02/2016 h. 14:17: Con una lettera aperta ai clienti firmata da Tim Cook, Apple ha annunciato l’intenzione di impugnare l’ordinanza in tribunale. Nella lettera Apple sostiene che, nonostante l’FBI faccia una richiesta specifica solo per questo caso e questo telefono, una volta creato un tool per permettere un attacco brute-force sugli iPhone, questo sarebbe usato in molti altri casi e molto probabilmente non rimarrebbe confinato all’uso da parte delle sole forze governative.

Cook critica anche lo strumento legale utilizzato. Invece di passare attraverso la discussione e approvazione di una legge che tenga conto della tecnologia attuale presso il Congresso americano, “l’FBI fa ricorso a una legge pensata nel 1789 per giustificare un’espansione della sua autorità”.