Nemmeno Scratch è sicuro

Photo by stem.T4L on Unsplash

Ricordo di avere usato Scratch in maniera molto intensa quando partecipavo attivamente al CoderDojo MiSo. Bellissimi momenti trascorsi ad insegnare a programmare a bambini che sino a quel momento avevano sempre vissuto la tecnologia in maniera del tutto passiva.

Sono stati dei pomeriggi bellissimi di cui conservo un bellissimo ricordo sia per l’evento che per la compagnia di persone che si occupavano della organizzazione. Confesso che è una delle poche cose che mi mancano dopo il mio trasferimento sul Lago di Como.

In quei pomeriggi usavo Scratch come strumento per insegnare alcune basi di programmazione ai ragazzi. Ho ancora gelosamente archiviati i tutorial che scrissi per quegli eventi. Alcuni molto, molto semplici. Altri decisamente complessi.

Ricordo che lo strumento era potente, pur nella semplicità della sua interfaccia. Se vi fate un giro sul sito dell’MIT troverete dei progetti eccezionali scritti con Scratch. Da una copia, quasi perfetta, di Minecraft ad un vero e proprio simulatore di volo.

Insomma ci si poteva divertire parecchio con quello strumento.

Oggi ho letto che esiste un problema di sicurezza con Scratch. Sostanzialmente caricando una immagine in formato SVG opportunamente costruita è possibile eseguire arbitrariamente del codice JavaScript e quindi compiere le peggio nefandezze.

In prima battuta mi sono chiesto per quale motivo un malintenzionato volesse approfittare di una applicazione come Scratch per veicolare un attacco informatico. In fondo è qualcosa che è destinato all’uso da parte di bambini e ragazzi e quindi pensavo che fosse inutile aggredire quella superficie di attacco.

In realtà ho realizzato che molto spesso ho visto i ragazzi usare i personal computer dei genitori durante i nostri pomeriggi di lavoro. In quest’ottica il vettore assume tutto un altro significato.

Il genitore considera Scratch qualcosa di sicuro. Tecnicamente dovrebbe essere quasi una sandbox con scarse interazioni con il sistema su cui è ospitato. In realtà, come abbiamo visto, non è affatto sicuro e può fare certamente leva su questo falso senso di sicurezza per fare breccia nel sistema del genitore.

Come dico spesso, ho troppa poca fantasia per potere fare l’hacker con successo.

0 0 votes
Article Rating
Subscribe
Notificami
guest
0 Commenti
Inline Feedbacks
View all comments