Dovresti prestare particolare attenzione alle scorciatoie che scarichi perché alcuni di questi script di automazione iOS sono stati creati da persone con cattive intenzioni per scopi dannosi.
Caso in questione: lo sviluppatore di Codea Simeon si è imbattuto in un collegamento dannoso mascherato da apparire all'utente come un innocente ottimizzatore di RAM e un dispositivo di pulizia (tramite iGen.fr).
In realtà, raccoglie dati personali come contatti, indirizzi, file sul tuo dispositivo e cosa no. Questo materiale viene archiviato silenziosamente in un file ZIP che viene inviato tramite un iMessage a un utente malintenzionato.
Da contatti altamente personali, nomi che hai digitato in iMessage, indirizzi, cronologia di navigazione, utilizzo delle app, contenuto dei file
Avevo persino caricato l'intero testo di David Copperfield di Dickens su Codea di recente per testare le prestazioni di editing. I nomi e i luoghi della storia sono stati indicizzati / 2 pic.twitter.com/2bfIr9aqCS
- Simeon (@twolivesleft) 23 gennaio 2019
Quella scorciatoia particolare è stata in grado di cavarsela perché i dettagli di ciò che stava facendo erano offuscati dalla codifica base64. "Ho divulgato tutti i dettagli ad Apple e spero che li risolvano, ma più le scorciatoie diventano mainstream, più le persone devono essere consapevoli di come possono essere utilizzate in modo improprio", ha scritto su Twitter.
A parte il fatto che nessuno dovrebbe mai preoccuparsi di usare un'app o una scorciatoia che promette di pulire la memoria (iOS fa un lavoro di gran lunga migliore gestendo la RAM di qualsiasi altra app), non è chiaro cosa un utente medio potrebbe fare per evitare scorciatoie malevole.
TUTORIAL: Come condividere i file di iCloud Drive
Il problema con le scorciatoie è il potente linguaggio di scripting di Apple che utilizzano, che consente agli utenti di concatenare più attività ripetitive in un'unica azione. Apple non ospita scorciatoie create dagli utenti, quindi non vengono certamente analizzate o esaminate in dettaglio come le app dell'App Store.
In genere, un collegamento creato dall'utente viene condiviso tramite un collegamento al file iCloud.
E qui sta il problema. "Non puoi aspettarti che un utente ragionevole sappia cosa stavano accettando di eseguire quando riceveva un collegamento ospitato da Apple a un collegamento", ha detto Simeon.
Apple potrebbe alleviare questo problema richiedendo che tutte le scorciatoie siano ospitate da App Store in modo che eventuali invii della community possano essere sottoposti a screening dal suo team di revisione.
Potrebbe anche introdurre nuovi tipi di misure di protezione come abbiamo visto in macOS Mojave per vietare le scorciatoie per accedere a funzioni di basso livello, come il file system, o almeno lanciare un prompt quando una scorciatoia vuole rovinare i tuoi dati.
In Mojave, gli utenti devono dare la loro autorizzazione quando un'app o uno script vogliono controllare altre app (Preferenze di Sistema → Sicurezza e Privacy → Privacy → Automazione).
Sarebbe bello avere opzioni simili in iOS.
iGen ha anche proposto misure aggiuntive, come verificare l'autenticità di una scorciatoia dando un'occhiata più da vicino a ciò che fa realmente nell'app Scorciatoie (tocca Mostra azioni).
Verifica delle azioni di una scorciatoia
Ad esempio, se un collegamento che dovrebbe ritagliare le immagini improvvisamente richiede l'accesso ai messaggi, questo dovrebbe sollevare bandiere rosse. Inoltre, iGen mette in guardia le persone dal download di collegamenti da persone o siti Web di cui non si fidano.
La galleria di script ospitata da Apple disponibile nell'app Shortcuts è sicuramente una fonte attendibile, ma per quanto riguarda tutti quegli script creati da iCloud e creati dalla community su cui potresti imbatterti su Reddit e sui social media?
iGeneration consiglia di controllare una scorciatoia rispetto a un elenco di scorciatoie di persone ben note nella comunità Apple. Uno di questi elenchi è ospitato sul sito Web di Sharecuts.
Dovresti anche visitare il sito Web di ShortcutsGallery e sfogliare la raccolta di iDownloadBlog dei migliori script della community nel nostro archivio Focus sulle scorciatoie.
Assicurati di verificare le scorciatoie che scarichi dal sito Web di Sharecuts.
Riassumendo, chiunque può creare, ospitare e condividere le proprie scorciatoie e impacchettarle come preferiscono (ad esempio "Cancella schermate da foto", "Performance Optimizer" e così via) senza ripercussioni.
Con questo in mente, essere meno fiducioso di tutte le scorciatoie create dalla comunità che scarichi aiuta molto ad affrontare questi problemi di privacy e sicurezza relativi all'automazione iOS.
Usi le scorciatoie sul tuo dispositivo iOS?
In tal caso, come risolveresti il problema della fiducia se fossi Apple?
Sentiti libero di entrare con i tuoi pensieri nei commenti.