Secondo Apple gli store alternativi distruggono la sicurezza

Apple settimana scorsa ha pubblicato sul suo sito un white paper contro la proposta di legge che imporrebbe la possibilità di caricare le app al di fuori del suo app store (e quindi fare sideloading, come si dice in inglese), aprendo così la strada agli app store alternativi a quello integrato su iOS e iPadOS.

Il white paper si intitola “Building a Trusted Ecosystem for Millions of Apps” (“Costruire un ecosistema affidabile per milioni di app”) e durante il fine settimana l’ho letto con calma. Penso sia convincente, onesto e ben fatto. Il tema però è complicato, ha punti di vista molto diversi, in qualche modo alcune persone lo trovano oltremodo divisivo, e ci sono aspetti non tecnici che sono un po’ più ampi di quel che non sembra. Per questo motivo vi incoraggio a leggerlo, ma qui vorrei spiegare cosa dice in alcuni dei punti, secondo me, più importanti.

Due cose diametralmente opposte
Il white paper si apre con una frase di Steve Jobs del gennaio 2007, quando venne presentato il primo iPhone: “Stiamo cercando di fare nello stesso momento due cose diametralmente opposte: fornire una piattaforma avanzata e aperta agli sviluppatori e allo stesso tempo proteggere gli utenti iPhone da virus, malware, attacchi alla privacy, ecc. Non è un compito facile”.

Steve Jobs aveva, tra le altre cose, una capacità di sintesi che gli permetteva di cogliere in maniera accurata ed onesta il nocciolo delle questioni. La prova è che dopo quasi quindici anni il centro del ragionamento è sempre quello: fare due cose diametralmente opposte. La scelta di Jobs e di Apple è stata felice, però: questo approccio alla sicurezza e alla privacy è risultato molto efficace nel corso degli anni.

Il punto di vista di Apple
Apple ha messo insieme un ecosistema costruito attorno a dei pilastri che chi sta proponendo sistemi alternativi, come il sideloading (e addirittura studiando il modo per renderli obbligatori), trascura. E non sono pochi: Apple è stata portata in causa da Epic Games per il caso Fortnite, ci sono le lamentele di diversi sviluppatori per il costo e le regole imposte da Apple, e poi negli Usa e in Europa sta aumentando la pressione antitrust e normativa sull’ecosistema di Apple e dei big del tech in generale. Secondo me, però, le posizioni e le ragioni di Amazon, Apple, Facebook, Google e Microsoft non sono tutte uguali e necessitano di una analisi appropriata caso per caso. Riguardo ad Apple, quanto segue è il loro punto di vista.

Il punto principale di Apple è quello delle conseguenze reali del sideloading, abbiamo detto, e si trova in vari passaggi del white paper, come a pagina quattro: “Inoltre, anche gli utenti che preferiscono scaricare solo app dall’App Store potrebbero essere costretti a scaricare un’app di cui hanno bisogno per il lavoro o per la scuola da negozi di terze parti se non è resa disponibile su App Store. Oppure potrebbero essere indotti a scaricare app da app store di terze parti mascherati da App Store”.

Questo secondo me è uno dei punti centrali che Apple può sollevare per il rispetto della sicurezza e della privacy degli apparecchi. Certamente è giusto che una persona voglia utilizzare il dispositivo che ha acquistato come preferisce, ci mancherebbe. Ma d’altro canto questa libertà avrebbe un costo collettivo molto alto, che chi propone il sideloading probabilmente non considera, e che invece è il motivo per cui Apple ha pubblicato questo white paper.

Fare sideloading
Oggi esistono già tre modi per caricare app da fuori l’app store: usando TestFligt (ambiente di test limitato a 10mila utenti per app, con un controllo iniziale di Apple), la distribuzione delle app nella versione aziendale (che richiede il certificato di azienda da parte di Apple) e la possibilità di compilare e caricare la app dal Mac con Xcode (che richiede un account da sviluppatore e una notevole abilità tecnica: a me non riuscirebbe, per dire). Tutti e tre questi modi sono pensati per uno scopo tecnico particolare e hanno una forma di bilanciamento che è per la protezione dell’utente. Il sideloading, invece, no. È alternativo all’App store ed è alternativo anche all’idea delle app nel browser.

Cosa comporta? Secondo Apple in teoria permetterebbe di installare qualsiasi cosa voglia l’utente, in pratica aprirebbe la strada alle truffe, alla contraffazione, ai trucchi da parte di sviluppatori più o meno leciti. E romperebbe completamente il controllo sul rispetto della privacy degli utenti che Apple esercita sugli sviluppatori filtrando le app.

Tenere il negozio pulito
L’azienda infatti spiega nel white paper che “ogni settimana in media vengono esaminati 100mila app e aggiornamenti da oltre 500 esperti. Quasi un milione di app sono stati rifiutate o rimosse nel corso dell’ultimo anno: più di 150mila erano spam o imitazioni, oltre 215mila violavano le linee guida sulla privacy e poco meno di 50mila contenevano funzioni nascoste o non documentate, mentre quasi 100mila includevano una o più funzioni che permettevano di commettere azioni vietate”.

Apple inoltre scrive di aver bloccato delle transazioni economiche fraudolente (cioè truffe ai danni degli utenti) per oltre 1,5 miliardi di dollari, di aver chiuso quasi mezzo milione di account degli sviluppatori per frode (di fatto espellendoli dal programma) e bloccando più di 200mila nuove registrazioni.

Non è finita qui: infatti Apple spiega di chiudere anche gli account degli utenti che hanno comportamenti fraudolenti o abusivi, ad esempio scrivendo false recensioni alle app. Ne ha disattivati finora 244 milioni (un numero enorme) e “ha rifiutato la creazione di altri 424 milioni di account a causa di modelli di comportamento fraudolenti e abusivi”.

La fiducia nell’ambiente
Senza questo enorme lavoro, e con la presenza di truffe e app che violano la sicurezza e la privacy degli utenti, secondo Apple “alla fine, gli utenti dovrebbero essere costantemente alla ricerca di truffe, senza mai sapere di chi o di cosa fidarsi, e di conseguenza molti utenti scaricherebbero meno app da meno sviluppatori”.

Questo è un aspetto di cui si parla relativamente poco, ma che ho riscontrato anche nella mia esperienza personale. Le app su iOS e iPad (ma anche quelle che passano dal Mac app store su macOS) sono a prova di scemo: non possono mettere in crisi il sistema, non installano cose che poi è impossibile togliere, e per disinstallarle basta semplicemente rimuoverle e buttarle via. Questo dà fiducia a centinaia di milioni di utenti iOS e iPadOS che, come me, non hanno le competenze tecniche per creare e mantenere un sistema sicuro e che invece installano molto meno software sul loro Pc (o sul loro Mac, se è per questo). La app economy si regge sul fatto che installare le app sia un’attività facile, sicura e molto diffusa, cosa che nell’ecosistema dell’App store di Apple è confermata. Cosa cambia se questo passa attraverso più store diversi o addirittura si può installare una app ad esempio direttamente dal sito web dello sviluppatore?

Alcuni effetti del sideloading
Rispetto all’attuale modello in cui, ad esempio, la possibilità di un’app di richiedere accesso ai contatti contenuti nella rubrica dell’utente o ad altre informazioni è sottoposta alla review tecnica da parte di Apple prima della pubblicazione sull’app store (che la rifiuta quando non è necessario all’app e che garantisce che ci sia sempre una finestra modale che permette all’utente di scegliere se concedere l’accesso ai dati o alle altre funzioni o no), l’apertura al sideloading cancellerebbe tutto questo.

Uno store di terze parti, ad esempio di Microsoft o di Google, seguirebbe logiche diverse da quelle di Apple su cosa è permesso fare alle app, mentre un’app caricabile senza filtri deciderebbe in pratica da sola. Inoltre, non solo avrebbe pratiche di privacy non chiare e non necessariamente vere, ma potrebbe anche installare componenti “segrete” che non si disinstallano buttando via l’app. Infine, il controllo della privacy e della sicurezza è un concetto in parte soggettivo: una azienda può ritenersi legittimata a operare in modi che un’altra azienda giudica non corretti, ad esempio per installare funzionalità pervasive nel sistema operativo o nella raccolta dei dati dell’utente. Senza il filtro di Apple non c’è più la garanzia odierna della piattaforma iOS e iPadOS.

Questa garanzia, secondo Apple, non deve essere una possibilità teorica ma è invece un requisito molto pratico. Come scrive nel white paper: “L’iPhone viene utilizzato ogni giorno da oltre un miliardo di persone  per fare le operazioni bancarie, per gestire i dati sanitari e per scattare foto delle loro famiglie. Questa vasta base di utenti costituirebbe un obiettivo attraente e redditizio per criminali informatici e truffatori; consentire il sideloading stimolerebbe un’ondata di nuovi investimenti in attacchi su iPhone, ben oltre la portata degli attacchi su altre piattaforme come il Mac”.

I pagamenti in-app
Il resto del white paper tocca aspetti tecnici (l’App Tracking Transparancy o ATT, i permessi delle app) e una serie di funzionalità come ad esempio il controllo parentale che permette di dare ad esempio un iPad a un bambino configurandolo in modo tale che non sia possibile fare cose inappropriate o che non sia esposto a contenuti inappropriati.

Infine, c’è l’ultimo aspetto a mio avviso rilevante, che è quello dei pagamenti in-app. Sono personalmente abbonato a tre cose: Musica di Apple, il profilo premium di Drafts4 e Flight Update Pro. Un anno e mezzo fa, durante il lockdown, ho deciso di tagliare alcune spese pensate per i periodi in cui viaggio molto, tra cui l’abbonamento mensile a Flight Update. La procedura è stata semplice e senza problemi. La gestione degli abbonamenti utilizzando le preferenze di Apple anche in passato è sempre stata altrettanto facile. Una volta, ad esempio, ho utilizzato il servizio di assistenza di Apple sia per la cancellazione involontaria di Apple TV+ durante il periodo di prova (ho sbagliato a premere) che per un altro paio di cose simili. Ho parlato facilmente e rapidamente con gli operatori (via chat e in voce), ho spiegato la situazione che è stata capita e mi sono state proposte alternative, le attività si sono concluse in modo per me soddisfacente. Nessuna di queste interazioni è ovviamente passata tramite uffici stampa o altri canali “vip” (che, per quel che ne so, non ci sono neanche, nel caso di Apple).

L’importanza della fiducia nell’uso e nelle interazioni
L’esperienza complessiva utilizzando questo servizio da mediatore di Apple per me è cruciale: sapere che con due tap posso cancellare qualsiasi abbonamento su piattaforma Apple, e che comunque vengo avvertito per email prima di ogni singolo rinnovo con tempo sufficiente a decidere cosa fare, per me è fondamentale. E inedita in tutti gli altri contesti (che per non scadere come tono definirei semplicemente “truffaldini”)  in cui pago per dei servizi: rinnovo registrazione di domini web, servizi vari di telefonia mobile e fissa (ricordate i mesi di quattro settimane? o la rimodulazione unilaterale dei piani? o la cancellazione unilaterale di funzionalità), gli abbonamenti ai giornali italiani e internazionali (semplicemente scandalosi!) e vari altri servizi. Quando il servizio non è truffaldino, il quantitativo di burocrazia che richiede (e la complessità della parte gestionale) è sconfortante.

E come se non bastasse: utilizzo di solito indirizzi di posta su misura per molti di questi abbonamenti e, nella maggior parte dei casi, ogni volta che ne devo sottoscriverne uno l’indirizzo ad hoc che ho creato si trasforma in un magnete per lo spam (viene rivenduto? ma vah!).

Al di là della mia personale esperienza, questo secondo Apple sarebbe un effetto negativo del sideloading rispetto alla piattaforma di iOS: “[Con iOS] gli utenti sono anche in grado di gestire centralmente tutti i pagamenti relativi alle app e di visualizzare e annullare facilmente gli abbonamenti pagati tramite i pagamenti in-app. Non è possibile applicare completamente questo tipo di controlli alle app caricate dagli app store terzi”.

Il resto del white paper si trova qui.