Un bug di Apple Maps risolto con iOS 16.3 potrebbe aver consentito alle app di raccogliere dati sulla posizione dell’utente senza autorizzazione.
Dalle ultime informazioni emerge che almeno un’app sembra averlo fatto e un esperto di sicurezza ha ipotizzato che lo stesso bug sulla privacy potrebbe essere stato sfruttato da innumerevoli app in un periodo di tempo sconosciuto.
Le note di rilascio di iOS non elencano tutte le correzioni di bug, ma quelli relativi alla sicurezza sono per lo più trattati in un documento separato. Apple elenca 12 diverse patch di sicurezza per iOS 16.3, inclusa quella per un bug sulla privacy di Apple Maps:
Disponibile per: iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e successivi, iPad 5a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: un’app può essere in grado di ignorare le preferenze sulla privacy
Descrizione: un problema è stato risolto con una migliore gestione dello stato.
Non si sa con certezza, ma sembra che il bug sia stato attivamente sfruttato da almeno un’app. Il giornalista brasiliano Rodrigo Ghedin riferisce che iFood, un’app brasiliana per la consegna di cibo, ha avuto accesso alla posizione di un utente in iOS 16.2 anche quando l’utente aveva negato all’app l’accesso a questa informazione.
iFood, la più grande app brasiliana per la consegna di cibo valutata 5,4 miliardi di dollari, accedeva alla sua posizione quando non era aperta/in uso, aggirando un’impostazione iOS che limitava l’accesso di un’app a determinate funzionalità del telefono. Anche quando il lettore ha negato completamente l’accesso alla posizione, l’app di iFood ha continuato ad accedere alla posizione del suo telefono.
È solo un’ipotesi che l’app abbia sfruttato il bug in questione, ma è una spiegazione molto plausibile. Ciò che l’app iFood ha fatto non avrebbe dovuto essere possibile, mentre il bug descritto da Apple lo avrebbe apparentemente reso possibile.
Le domande sollevate dall’esperto di sicurezza di Arstechnica Dan Goodin sono: da quanto tempo esiste questa vulnerabilità? Quali altre app l’hanno sfruttata? Quanti dati sulla posizione sono stati raccolti utilizzandola?
Potrebbero esserci state enormi quantità di dati sulla posizione raccolti senza che gli utenti sospettassero nulla. L’unica cosa certa, è che il bug è stato corretto con iOS 16.3.