Błąd prywatności Apple Maps mógł pozwolić aplikacjom na gromadzenie danych o lokalizacji bez pozwolenia

Jakiś Mapy Apple'a błąd prywatności naprawiony w iOS 16.3 mógł pozwolić aplikacjom na gromadzenie danych o lokalizacji użytkownika bez pozwolenia.
Wydaje się, że przynajmniej jedna aplikacja to zrobiła, a bezpieczeństwo reporter spekulował, że to samo Prywatność błąd mógł zostać wykorzystany przez niezliczone aplikacje w nieznanym okresie…
iOS 16.3
iOS 16.3 stał się publicznie dostępny w zeszłym tygodniu , po miesiącu w wersji beta. Główną funkcją była obsługa fizycznych kluczy bezpieczeństwa w ramach procesu logowania do uwierzytelniania dwuskładnikowego na nowych urządzeniach.
Inne funkcje podkreślone w informacjach o wersji to:
- Nowa tapeta Unity honoruje historię i kulturę Czarnych w ramach obchodów Miesiąca Historii Czarnych
- Wsparcie dla HomePod (2. generacji)
- Alarmowe połączenia SOS wymagają teraz przytrzymania bocznego przycisku z przyciskiem zwiększania lub zmniejszania głośności, a następnie zwolnienia, aby zapobiec przypadkowym wywołaniom alarmowym
Jak również wzmianka o kilku poprawkach błędów. Wymeldować się nasz film przedstawiający wszystkie nowe funkcje .
Błąd prywatności Map Apple
Informacje o wersji iOS firmy Apple nie zawierają listy wszystkich poprawek błędów; zamiast tego te związane z bezpieczeństwem są w większości objęte odrębnym dokumentem . Apple wymienia 12 różnych poprawek bezpieczeństwa, w tym jedną dotyczącą błędu prywatności Apple Maps:
Dostępne dla: iPhone'a 8 i nowszych, iPada Pro (wszystkie modele), iPada Air 3. generacji i nowszych, iPada 5. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie ominąć preferencje dotyczące prywatności
Opis: naprawiono błąd logiczny przez poprawienie zarządzania stanem.
CVE-2023-23503: anonimowy badacz
Wydaje się, że był aktywnie eksploatowany
Nie wiemy na pewno, ale z pewnością wygląda na to, że błąd był aktywnie wykorzystywany przez co najmniej jedną aplikację. brazylijski dziennikarz Rodrigo Ghedina donosi, że iFood, brazylijska aplikacja dostarczająca jedzenie o wartości wielu miliardów dolarów, uzyskiwała dostęp do lokalizacji użytkownika w systemie iOS 16.2, nawet jeśli użytkownik odmówił aplikacji dostępu do lokalizacji.
Czytelnik z Instrukcja obsługi (mój blog napisany po portugalsku) zauważył usterkę/błąd podczas korzystania z iOS 16.2.
iFood, największa brazylijska aplikacja do dostarczania jedzenia, wyceniana na 5,4 mld USD, uzyskiwała dostęp do jego lokalizacji, gdy nie była otwarta/używana, z pominięciem ustawień iOS, które ograniczają dostęp aplikacji do niektórych funkcji telefonu. Nawet jeśli czytelnik całkowicie odmówił dostępu do lokalizacji, aplikacja iFood nadal uzyskiwała dostęp do lokalizacji jego telefonu.
To tylko spekulacje, że wykorzystano omawiany błąd, ale jest to przynajmniej bardzo prawdopodobne wyjaśnienie. To, co zrobiła aplikacja iFood, nie powinno być możliwe, podczas gdy błąd opisany przez Apple najwyraźniej by to umożliwił.
Pytania zadane przez Arstechnica pisarz bezpieczeństwa I Goodina to: Jak długo istnieje ta luka? Jakie inne aplikacje to wykorzystały? Ile danych o lokalizacji zostało zebranych przy jego użyciu?
Mogły istnieć ogromne ilości danych o lokalizacji, które zostały zebrane bez podejrzeń użytkowników. Zapytałem Apple o szczegóły, ale firma nigdy nie odpowiedziała.
Inny użytkownik w wątku spekulował, że błąd mógł być związany z przyznaniem aplikacji dostępu do lokalizacji, a następnie cofnięciem go lub ograniczeniem (na przykład z „Zawsze” na „Tylko podczas używania”) – z awarią iOS aby poprawnie zaktualizować listę aplikacji, które mają dostęp do danych o lokalizacji.
Apple raczej nie skomentuje, ponieważ błąd jest obecnie wymieniony jako „zarezerwowany”, co oznacza, że szczegóły zostaną ujawnione dopiero w późniejszym czasie, prawdopodobnie gdy większość użytkowników iOS dokona aktualizacji do iOS 16.3 (lub załatanej wersji wcześniejszej wersji) .
Zdjęcie: Tamas Tuzes-Katai / Nierozpryskiwany