post sul blog Google dedicato alla security<\/a> scende nei dettagli tecnici per rassicurare gli utenti, specificando che non si tratta di un semplice “workaround” o di un trucco instabile:<\/p>\n
<\/p>\n
“Questa funzione non utilizza espedienti; la connessione \u00e8 diretta e peer-to-peer, il che significa che i dati non vengono mai instradati attraverso un server, il contenuto condiviso non viene registrato e nessun dato extra viene condiviso.\u201d<\/p>\n
<\/p>\n
Nel documento, che abbiamo analizzato, si legge che Google ha dovuto replicare il comportamento di AirDrop rispettando rigorosi standard di protezione tutto \u00e8 stato costruito seguendo un approccio Secure by Design, parola che Apple usa sempre per definire i suoi prodotti. Google sottolinea pi\u00f9 volte la parola \u201csicurezza\u201d, e nel conclusioni capiremo il perch\u00e9.<\/p>\n
<\/p>\n
Per garantire che la nuova interoperabilit\u00e0 non aprisse falle, Google ha adottato un processo di sviluppo molto strutturato: threat modeling per individuare rischi potenziali prima di scrivere una riga di codice, revisioni interne di sicurezza e privacy, con team dedicati che analizzano design e flussi di dati e penetration test interni, in cui gli stessi ingegneri tentano di attaccare il sistema per verificarne la resistenza.<\/p>\n
<\/p>\n
Google spiega che la sicurezza del nuovo Quick Share, \u00e8 una estensione specifica che viene inviata da Google ai Pixel tramite Play Services, non si affida a un singolo elemento ma a una serie di layer che lavorano insieme, <\/b>con un canale di comunicazione sicuro, scritto in Rust, capace di parlare il \u201clinguaggio\u201d di AirDrop. <\/p>\n
La scelta di usare Rust \u00e8 simbolica: \u00e8 un linguaggio di programmazione molto sicuro per la gestione della memoria perch\u00e9 elimina alla radice interi gruppi di vulnerabilit\u00e0 legate alla gestione della memoria, come buffer overflow e corruzione di dati, problemi questi storicamente diffusi nei protocolli wireless e nel parsing dei pacchetti dati.<\/p>\n
\nCome ha fatto Google a far dialogare il suo servizio con un servizio che \u00e8 sempre stato definito \u201cchiuso\u201d? <\/p>\n
In realt\u00e0 AirDrop non \u00e8 mai stato chiuso, semplicemente non \u00e8 mai stato documentato<\/b> anche perch\u00e8 AirDrop in realt\u00e0 non \u00e8 un protocollo unico, ma \u00e8 un insieme di tecnologie coordinate: Bluetooth LE, Wi-Fi Direct e un protocollo di scambio.<\/p>\n
<\/p>\n
Il Bluetooth LE viene usato per la fase di \u201cDiscovery\u201d, ovvero quando si trovano i dispositivi a cui trasmettere: un telefono che invia dati con AirDrop annuncia l\u2019altro dispositivo il suo nome, il tipo (iPhone, iPad, Mac), mostra una preview del contenuto da inviare e ci aggiunge una chiave pubblica effimera e l\u2019 \u201cAirDrop service UUID\u201d che serve a chiarire il tipo di richiesta.<\/p>\n
<\/p>\n
Quando si preme \u201cinvia\u201d viene usato per la comunicazione Wi-Fi Direct, sul quale per\u00f2 \u00e8 stato messo AWDL (Apple Wireless Direct Link), lo strato proprietario che Apple usa anche per Continuity e le altre funzionalit\u00e0 di scambio dati tra prodotti dell\u2019ecosistema.<\/p>\n
<\/p>\n
Google \u00e8 riuscita a scrivere un bridge che parla \u201cabbastanza AWDL\u201d da far credere ad iOS che sia compatibile.\u00a0<\/b>C\u2019\u00e8 infine il protocollo di scambio: dopo un handshake iniziale e la verifica dei metadati, se il destinatario accetta, viene fatto il trasferimento.<\/p>\n
\n
<\/p>\n
Come abbiamo detto niente di questo \u00e8 criptato<\/b>, semplicemente non \u00e8 mai stato documentato e serve reverse engineering che Google ha fatto. <\/p>\n
La \u201cfalla\u201d che rende tutto possibile \u00e8 la modalit\u00e0 AirDrop \u201cTutti per 10 minuti\u201d che non effettua autenticazione contatti e verifica identit\u00e0. Se AirDrop \u00e8 in questa modalit\u00e0, iOS accetta qualsiasi dispositivo che si presenta tramite Bluetooth con il servizio corretto, risponde al protocollo AirDrop, apre un link AWDL\/Wi-Fi Direct valido e\trispetta l\u2019handshake di trasferimento. Apple non filtra per marca o sistema operativo quando AirDrop \u00e8 in modalit\u00e0 pubblica<\/b>. \u00c8 sempre stato cos\u00ec, ma nessuno aveva fatto “spoofing” del protocollo, finora.<\/p>\n
\n
<\/p>\n
Google si dice disponibile a collaborare con Apple per estendere la compatibilit\u00e0 anche alla modalit\u00e0 \u201cSolo Contatti\u201d, che oggi richiede meccanismi proprietari e non documentati.<\/p>\n
Giusto per precisare tutto questo non ha nulla a che fare con il Wi-fi Aware, o con il DMA anche se a breve la questione “AirDrop” dovr\u00e0 essere gestita anche in Europa, ed \u00e8 il motivo per il quale \u00e8 stato introdotto in iOS 26 il Wi-fi Aware. Ma quella \u00e8 tutta un’altra storia.<\/p>\n
<\/p>\n
Come abbiamo detto Google ha costruito tutta la comunicazione sulla sicurezza. Scrive infatti che per garantire la massima trasparenza dopo i test interni ha chiesto un audit completo a NetSPI, una delle principali societ\u00e0 internazionali di penetration testing.<\/b><\/p>\n
<\/p>\n
Il verdetto \u00e8 che la soluzione \u00e8 sicura, \u00e8 pi\u00f9 robusta rispetto ad altre implementazioni simili sul mercato e non espone dati n\u00e9 informazioni aggiuntive. Anche il professor Dan Boneh di Stanford, uno dei massimi esperti mondiali di sicurezza informatica, ha definito l\u2019implementazione un \u201cottimo esempio\u201d di interoperabilit\u00e0 costruita correttamente.<\/p>\n
Google ha messo Apple in scacco. Anzi, scacco matto
<\/p>\n
\u00c8 facile capire perch\u00e9 tutta questa attenzione: Google ha messo Apple in scacco. Apple non ha collaborato, e Google con questa interoperabilit\u00e0 ha aperto una porta che Apple non aveva chiuso, aveva solo nascosto bene pensando che nessuno si accorgesse che c\u2019era.<\/p>\n
<\/p>\n
Apple ora potrebbe intervenire per bloccare il tutto, e non potendo cambiare il sistema per rendere incompatibili fino al prossimo aggiornamento milioni di iPhone l\u2019unica cosa che pu\u00f2 fare \u00e8 aumentare le verifiche per la modalit\u00e0 \u201cTutti per 10 minuti\u201d, chiedendo ad esempio che il dispositivo che invia abbia un sistema operativo riconosciuto.<\/p>\n
<\/p>\n
Google ha pensato che il primo aspetto\u00a0al quale Apple si sarebbe aggrappata<\/b> per bloccare questa soluzione sarebbe stato la sicurezza dei suoi utenti<\/b>, e proprio per questo motivo ha costruito tutto l\u2019annuncio attorno ad una sola cosa: la sicurezza.<\/p>\n
Davanti ad audit indipendenti, e ad una descrizione minuziosa del modo in cui \u00e8 stata gestita la sicurezza, per Apple sar\u00e0 difficile usare questa come pretesto per chiudere tutto dalla sua parte<\/b>. <\/p>\n
Ogni altra motivazione potrebbe essere un gancio per una eventuale causa antitrust. <\/p>\n
Scacco matto.<\/p>\n","protected":false},"excerpt":{"rendered":"Google ha fatto ieri sera un annuncio tanto inaspettato quanto gradito: i possessori di Pixel 10 possono ora…\n","protected":false},"author":3,"featured_media":226581,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[173],"tags":[1537,90,89,195,198,199,197,200,201,194,196],"class_list":{"0":"post-226580","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-scienza-e-tecnologia","8":"tag-it","9":"tag-italia","10":"tag-italy","11":"tag-science","12":"tag-science-and-technology","13":"tag-scienceandtechnology","14":"tag-scienza","15":"tag-scienza-e-tecnologia","16":"tag-scienzaetecnologia","17":"tag-technology","18":"tag-tecnologia"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@it\/115591214904882819","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/posts\/226580","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/comments?post=226580"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/posts\/226580\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/media\/226581"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/media?parent=226580"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/categories?post=226580"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/tags?post=226580"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}