Chyba ochrany osobných údajov v Mapách Apple mohla aplikáciám umožniť zhromažďovať údaje o polohe bez povolenia

An Apple Maps chyba ochrany osobných údajov opravená v systéme iOS 16.3 mohla aplikáciám umožniť zhromažďovať údaje o polohe používateľa bez povolenia.
Zdá sa, že aspoň jedna aplikácia tak urobila a a bezpečnosť reportér špekuloval, že to isté súkromia chyba mohla byť zneužitá nespočetnými aplikáciami v neznámom časovom období...
iOS 16.3
iOS 16.3 sa stal verejne dostupným minulý týždeň , po mesiaci v beta verzii. Hlavnou funkciou bola podpora fyzických bezpečnostných kľúčov ako súčasť dvojfaktorového procesu prihlasovania na nových zariadeniach.
Ďalšie funkcie zdôraznené v poznámkach k vydaniu boli:
- Nová tapeta Unity ctí černošskú históriu a kultúru na oslavu Mesiaca čiernej histórie
- Podpora pre HomePod (2. generácia)
- Tiesňové volania SOS teraz vyžadujú podržanie bočného tlačidla s tlačidlom na zvýšenie alebo zníženie hlasitosti a následné uvoľnenie, aby sa predišlo neúmyselným tiesňovým volaniam
Rovnako ako zmienka o niekoľkých opravách chýb. Odhlásiť sa naše video s prehľadom všetkých nových funkcií .
Chyba ochrany osobných údajov v Mapách Apple
Poznámky k vydaniu iOS od Apple neuvádzajú všetky opravy chýb; namiesto toho sa väčšinou týkajú bezpečnosti zahrnuté v samostatnom dokumente . Apple uvádza 12 rôznych bezpečnostných záplat, vrátane jednej pre chybu ochrany osobných údajov Apple Maps:
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air 3. generácie a novšie, iPad 5. generácie a novšie a iPad mini 5. generácie a novšie
Dopad: Aplikácia môže byť schopná obísť predvoľby ochrany osobných údajov
Popis: Logický problém bol vyriešený vylepšeným riadením stavu.
CVE-2023-23503: anonymný výskumník
Zdá sa, že bol aktívne využívaný
Nevieme to s istotou, ale určite sa zdá, že chybu aktívne využíva aspoň jedna aplikácia. Brazílsky novinár Rodrigo Ghedin uvádza, že v systéme iOS 16.2 sa zistilo, že iFood, brazílska aplikácia na rozvoz jedla v hodnote niekoľkých miliárd dolárov, má prístup k polohe používateľa, aj keď používateľ zamietol aplikácii všetok prístup k polohe.
Čitateľ z Používateľská príručka (môj portugalsky písaný blog) si všimol závadu/chybu pri používaní iOS 16.2.
iFood, najväčšia brazílska aplikácia na doručovanie jedla ohodnotená na 5,4 miliardy USD, pristupovala k svojej polohe, keď nebola otvorená/používaná, čím obišla nastavenie systému iOS, ktoré obmedzovalo prístup aplikácie k určitým funkciám telefónu. Aj keď čitateľ úplne zamietol prístup k polohe, aplikácia iFood pokračovala v prístupe k polohe jeho telefónu.
Je to len špekulácia, že to zneužil predmetnú chybu, ale je to prinajmenšom veľmi pravdepodobné vysvetlenie. To, čo urobila aplikácia iFood, by nemalo byť možné, zatiaľ čo chyba, ktorú Apple opisuje, by to zdanlivo umožnila.
Otázky, ktoré vzniesol Arstechnica bezpečnostný spisovateľ A Goodin sú: Ako dlho táto zraniteľnosť existuje? Aké ďalšie aplikácie to zneužili? Koľko údajov o polohe sa pomocou neho zhromaždilo?
Mohlo sa zhromaždiť obrovské množstvo údajov o polohe bez toho, aby používatelia niečo podozrievali. Požiadal by som Apple o podrobnosti, ale spoločnosť by nikdy neodpovedala.
Iný používateľ vo vlákne špekuloval, že chyba mohla súvisieť s tým, keď používateľ udelil aplikácii prístup k polohe a následne ju odvolal alebo obmedzil (napríklad z „Kedykoľvek“ na „„Iba pri používaní“) – pričom iOS zlyhal. správne aktualizovať zoznam aplikácií, ktoré majú prístup k údajom o polohe.
Spoločnosť Apple pravdepodobne nebude komentovať, pretože chyba je momentálne uvedená ako „vyhradená“, čo znamená, že podrobnosti budú zverejnené až neskôr, pravdepodobne keď väčšina používateľov systému iOS inovuje na iOS 16.3 (alebo opravenú verziu staršieho vydania). .
foto: Tamas Tuzes-Katai / Unsplash