Sign in with Apple: sistema di accesso rischioso per la privacy?

Secondo la OpenID Foundation, il nuovo sistema di autenticazione firmato da Apple potrebbe nascondere seri rischi per la privacy degli utenti: pubblicata la lettera indirizzata al dirigente a capo dello sviluppo software di Cupertino.

Anche se non ha ancora debuttato, il nuovo sistema di autenticazione di Cupertino fa già parlare di sé. Merito della questione sollevata in questi giorni dalla OpenID Foundation, l’organizzazione senza scopo di lucro che si occupa di promuovere e migliorare il protocollo di sicurezza OpenID Connect, secondo cui il Sign in with Apple potrebbe provocare grossi problemi a livello di sicurezza per gli utenti.

L’accesso tramite ID Apple è tra le più interessanti novità presentate all’ultima WWDC 2019, conferenza annuale per gli sviluppatori durante la quale la compagnia di Tim Cook illustra le maggiori innovazioni software su cui lavorano gli esperti della società californiana.

Sign in with Apple è stato da subito presentato come un importante cambiamento nel mondo dell’autenticazione online, che andrà ad affiancare i già noti sistemi di accesso firmati da Google e Facebook, tra i tanti.Il fulcro su cui ha fatto leva Apple, però, è stato quello della sicurezza e della trasparenza.

Secondo la squadra di Craig Federighi, infatti, l’accesso tramite ID Apple rappresenta una più sicura alternativa ai metodi menzionati, garantendo all’utente di non tracciare in alcun modo le attività online di chi ne fa uso – a differenza della concorrenza, si sottintende.

I dubbi sollevati da OpenID

Eppure, nonostante Apple sia annoverata tra le migliori in campo quando si tratta di sicurezza ed affidabilità, c’è qualcuno che non la pensa così, almeno per quanto riguarda il sistema di autenticazione ancora non introdotto ufficialmente.

Secondo OpenID, il Sign in with Apple cela vulnerabilità e limiti, facendo riferimento al fatto che questo tipo di protocollo potrebbe incontrare problemi e difficoltà di applicazione su molti siti, limitando dunque l’esperienza dell’utente.

In una lettera pubblica indirizzata al dirigente Craig Federighi, il Presidente della OpenID Foundation, Nat Sakamura, sottolinea l’innegabile utilizzo del protocollo OpenID Connect da parte di Apple, che però ha attuato modifiche personalizzate che lo rendono diverso dallo standard universale.

La lettera riporta che:

OpenID Foundation plaude gli sforzi di Apple per consentire agli utenti di accedere ad applicazioni mobili e Web di terze parti con il proprio ID Apple, utilizzando OpenID Connect.
Nel corso dell’ultimo decennio, OpenID Connect è stato sviluppato da un gran numero di aziende ed esperti del settore nell’ambito di OpenID Foundation (OIDF). OpenID Connect è un protocollo di identità moderno e ampiamente adottato, costruito su OAuth 2.0 che consente l’accesso di terze parti alle applicazioni in modo standard. […]

Le attuali differenze tra OpenID Connect e Sign in with Apple riducono i posti in cui gli utenti possono utilizzare l’accesso con Apple, e li espone a maggiori rischi di sicurezza e privacy. Inoltre, ciò implica un ulteriore onere sia per gli sviluppatori di OpenID Connect che di Sign in with Apple. Colmando le lacune attuali, Apple potrebbe interoperare con il software OpenID Connect Relying Party ampiamente diffuso.

La lettera si conclude con una richiesta piuttosto chiara in cui la Fondazione OpenID invita Apple a risolvere queste differenze, a utilizzare la suite di test di autenticità di OpenID Connect, e a dichiarare pubblicamente la compatibilità di Sign in with Apple con il software OpenID Connect Relying Party.

In realtà, risulta difficile pensare che un’azienda come Apple, che fa della sicurezza uno dei suoi principali cavalli di battaglia, abbia sorvolato su importanti questioni di sicurezza informatica. Tra l’altro, l’organizzazione non ha ben specificato, scendendo in dettagli tecnici, quali siano le reali vulnerabilità del sistema della mela morsicata.