Qual è il mito del 'Walled Garden' promosso dalla Silicon Valley e quanto è sicuro?

Il 'Walled Garden' è l'idea di un ecosistema chiuso, strettamente sorvegliato dal fornitore hardware, presentato come intrinsecamente più sicuro rispetto all'open web o al sideloading su Android. Tuttavia, l'incidente con Perplexity AI e il suo browser Comet dimostra che questa sicurezza è meno solida di quanto si pensi, soprattutto quando l'attenzione sull'IA supera i controlli di qualità.

In cosa consiste il caso dell'app falsa 'Cornet AI' e perché è dannoso?

Mentre Perplexity sviluppava il browser Comet per iOS, un impostore ha pubblicato un'app falsa chiamata 'Cornet AI', spacciandola per il prodotto legittimo. Questo non è solo una violazione del marchio, ma un attacco alla fiducia tra sviluppatore e utente, sfruttando l'attesa per Comet su iOS.

Come ha fatto l'app falsa a ingannare gli utenti?

L'app 'Cornet AI' dichiarava di essere 'Powered by Perplexity', sfruttando la reputazione dell'azienda. In un browser AI, gli utenti forniscono query complesse e dati sensibili, quindi un'app impostore che intercetta queste informazioni rappresenta un grave rischio di sicurezza.

Quali sono i rischi di sicurezza associati a un'app AI falsa?

Un'app falsa può agire come un intermediario in attacchi Man-in-the-Middle (MitM), intercettando connessioni criptate e potenzialmente rubando dati sensibili che l'utente crede siano diretti ai server legittimi.

Cosa ha fatto il CEO di Perplexity AI in risposta all'app falsa?

Il CEO di Perplexity AI, Aravind Srinivas, ha avvertito gli utenti che l'app 'Comet' sull'App Store era falsa e non proveniva dalla sua azienda, agendo come un filtro contro la disinformazione.

Cosa rivela l'incidente sui processi di revisione delle app?

L'incidente solleva dubbi sull'efficacia dei processi di revisione delle app. Se un'app falsa può superare i controlli e spacciarsi per un'app legittima, l'intero modello di sicurezza centralizzato presenta delle debolezze.

L'incidente con 'Cornet AI' è un caso isolato?

No, fa parte di un trend più ampio che coinvolge l'industria dell'AI generativa, con truffatori che creano interi ecosistemi di inganno, inclusi siti web fraudolenti e app false.

Quali sono le implicazioni per gli utenti finali?

Gli utenti non possono più fidarsi ciecamente delle piattaforme e devono verificare l'autenticità del software installato, controllando i canali ufficiali delle aziende produttrici.

Qual è la conclusione principale sull'incidente di Comet su iOS?

L'incidente evidenzia che, mentre ci concentriamo sull'evoluzione dell'IA, trascuriamo le vulnerabilità dell'infrastruttura che la distribuisce, rendendola suscettibile a truffe e attacchi.

Perplexity 2 months ago

La Falla nel Giardino Recintato: L’App Fake di Comet AI Smaschera le Vulnerabilità di Apple

Come la diffusione di una falsa app di Perplexity AI evidenzia le vulnerabilità nella sicurezza degli store digitali, specialmente nell’era dell’intelligenza artificiale

Se c’è un mito che la Silicon Valley ha venduto con successo negli ultimi quindici anni, è quello del “Walled Garden”: l’idea che un ecosistema chiuso, strettamente sorvegliato dal vendor hardware, sia intrinsecamente più sicuro del caos creativo dell’open web o del sideloading su Android.

Eppure, quanto accaduto in questi giorni intorno a Perplexity AI e al suo browser Comet dimostra come le mura di questo giardino siano molto più permeabili di quanto Apple ami ammettere, specialmente quando l’hype per l’intelligenza artificiale supera la velocità dei controlli di qualità. La vicenda non riguarda solo un’app contraffatta; è un sintomo di una vulnerabilità strutturale nel modo in cui distribuiamo e certifichiamo il software nell’era degli agenti AI.

Il caso è tecnicamente banale ma commercialmente devastante. Mentre Perplexity lavorava per portare il suo browser Comet su iOS – un compito non semplice, considerando le restrizioni che Apple impone costringendo ogni browser a utilizzare il motore di rendering WebKit invece di Chromium – qualcuno ha colto l’attimo. Sfruttando l’attesa febbrile degli utenti, un attore malevolo ha pubblicato un’applicazione chiamata “Cornet AI”, mascherandola con il branding ufficiale di Comet e spacciandola per il prodotto legittimo. Non si tratta di un semplice caso di violazione di trademark, ma di un attacco alla catena di fiducia tra sviluppatore e utente finale.

La dinamica è resa possibile da una discrepanza temporale critica. Il lancio e la ricezione positiva di Comet su Android hanno creato un’enorme domanda insoddisfatta per la controparte iOS, lasciando un vuoto che gli scammer hanno riempito con tempestività chirurgica. Su Android, dove gli utenti sono abituati a verificare le fonti o a scaricare APK direttamente dai siti ufficiali, il problema è gestibile.

Su iOS, dove l’App Store è l’unica fonte di verità, la presenza di un falso legittima automaticamente la frode agli occhi dell’utente medio. Se è sullo Store, deve essere sicuro.

O almeno, così ci è stato insegnato.

L’ingegneria sociale dietro l’interfaccia

Dal punto di vista dell’implementazione, l’app “Cornet AI” (un esempio da manuale di typosquatting visivo) non è solo un wrapper vuoto. Per ingannare le vittime, l’applicazione dichiarava esplicitamente di essere “Powered by Perplexity”, sfruttando la reputazione tecnica dell’azienda guidata da Aravind Srinivas. Questo dettaglio è cruciale: in un browser AI, l’utente non inserisce solo termini di ricerca generici, ma affida all’interfaccia query complesse, dati contestuali e spesso informazioni sensibili che il modello linguistico deve elaborare.

Un’app impostore che si interpone tra l’utente e l’API reale – o che simula risposte convincenti mentre esfiltra i dati in background – rappresenta un rischio di sicurezza di ordini di grandezza superiore rispetto a un falso gioco o a una utility inutile. Stiamo parlando di potenziali vettori per Man-in-the-Middle (MitM) su connessioni che l’utente ritiene criptate e dirette verso i server di Perplexity. La reazione del CEO dell’azienda non si è fatta attendere, evidenziando la gravità tecnica della situazione.

L’app Comet attualmente sull’App Store iOS è falsa, è spam e non proviene da Perplexity. Avrete notizie direttamente da noi quando Comet per iOS sarà pronto per la pre-registrazione e il download.

— Aravind Srinivas, CEO di Perplexity AI

È interessante notare come Srinivas abbia chiarito che l’applicazione non è affiliata a Perplexity e che il rilascio ufficiale è ancora in sospeso, dovendo agire come un firewall umano contro la disinformazione che lo stesso App Store non è riuscito a filtrare. La presenza di recensioni o download, spinti probabilmente da campagne di review bombing positivo o bot, ha permesso all’app di scalare le classifiche prima che i meccanismi di revisione automatica di Cupertino rilevassero l’anomalia.

Questo solleva interrogativi scomodi sui processi di app review. Se un revisore umano o un algoritmo non riesce a distinguere tra “Comet” e “Cornet”, o a verificare se un’app che dichiara di usare le API di una delle startup AI più famose al mondo abbia effettivamente l’autorizzazione per farlo, allora l’intero modello di sicurezza centralizzato mostra crepe preoccupanti. La complessità del codice moderno rende difficile l’analisi statica dei binari per scovare intenti malevoli, ma la verifica dell’identità del brand dovrebbe essere la base della due diligence.

Un ecosistema sotto attacco coordinato

Non si tratta di un incidente isolato, ma di un pattern che coinvolge l’intera industria dell’AI generativa. La facilità con cui è possibile generare codice boilerplate e asset grafici con la stessa AI ha abbassato drasticamente la barriera d’ingresso per i truffatori. I ricercatori di sicurezza hanno identificato un trend in crescita: campagne coordinate che non si limitano a pubblicare app, ma costruiscono interi ecosistemi di inganno.

Secondo un report recente, BforeAI ha documentato una campagna di truffe che prende di mira il browser Comet, segnalando la presenza di siti web fraudolenti e molteplici app mobili false. L’utilizzo di annunci a pagamento su Google e sui social media per indirizzare il traffico verso questi download malevoli suggerisce che non siamo di fronte a uno sviluppatore solitario nella sua cameretta, ma a operazioni strutturate che calcolano il ROI delle loro frodi. L’obiettivo non è solo l’installazione, ma il furto di credenziali, l’iniezione di malware o l’abbonamento fraudolento a servizi inesistenti.

La risposta tecnica a questo problema non può essere solo reattiva. Le aziende legittime si trovano costrette a implementare sistemi di brand protection sempre più aggressivi, monitorando gli store non ufficiali e ufficiali come se fossero dark web. Per l’utente finale, questo significa un ritorno al passato: non potersi fidare ciecamente della piattaforma, ma dover verificare la firma crittografica (metaforicamente parlando) di ogni software installato, controllando i canali ufficiali dell’azienda produttrice.

In conclusione, l’incidente di Comet su iOS ci costringe a guardare oltre la superficie scintillante delle nuove interfacce AI. Mentre ci preoccupiamo se l’intelligenza artificiale supererà l’intelligenza umana, stiamo trascurando il fatto che l’infrastruttura che ci consegna questa intelligenza è ancora dolorosamente vulnerabile ai trucchi più vecchi del mondo.

Se il futuro del computing è un assistente AI onnisciente che gestisce la nostra vita digitale, possiamo davvero permetterci che il canale di distribuzione di questo assistente sia così facilmente compromissibile?

Scritto da Luca Verdi

Developer e tech writer. Spiega la tecnologia dal punto di vista tecnico senza perdere di vista l'accessibilità. Ex software engineer, ora si dedica al giornalismo tech.

Amazon dichiara guerra ai 12 minuti di noia: così Fire TV e il nuovo Ember Artline vogliono cambiare le nostre serate

Il paradosso Amazon: vetrina chiusa, pubblicità a pagamento

Doppiaggio AI: Il Compromesso tra Ritmo e Significato

Fan-out: la tecnica distribuita che sta monopolizzando la ricerca visiva

Categories

Pages

Newsletter

Non perdere nemmeno un articolo.

La Falla nel Giardino Recintato: L’App Fake di Comet AI Smaschera le Vulnerabilità di Apple

Come la diffusione di una falsa app di Perplexity AI evidenzia le vulnerabilità nella sicurezza degli store digitali, specialmente nell’era dell’intelligenza artificiale

L’ingegneria sociale dietro l’interfaccia

Un ecosistema sotto attacco coordinato

Come la diffusione di una falsa app di Perplexity AI evidenzia le vulnerabilità nella sicurezza degli store digitali, specialmente nell’era dell’intelligenza artificiale

L’ingegneria sociale dietro l’interfaccia

Un ecosistema sotto attacco coordinato

Articoli correlati

LLM e dati strutturati: il paradosso di ChatGPT e Perplexity che ignorano la sintassi del web semantico

Meta diversifica i fornitori dati per l’AI, dubbi sulla qualità di Scale AI dopo l’investimento.

Parcel Perform lancia indice AI per la visibilità e-commerce nelle raccomandazioni.