Dopo aver corretto un bug di Apple Maps, l’azienda ha chiarito che gli utenti iPhone non sono mai stati a rischio a causa di questa vulnerabilità.
iOS 16.3 è stato rilasciato al pubblico il mese scorso e, tra le varie funzionalità, ha introdotto anche una serie di aggiornamenti di sicurezza. Una di queste correzioni ha risolto un bug sulla privacy di Apple Maps che avrebbe potuto consentire a un’app di bypassare le preferenze sulla privacy.
Apple ha anche confutato un rapporto secondo cui un’app di consegna di cibo brasiliana aveva avuto accesso alla posizione degli utenti senza autorizzazione in iOS 16.2. In pratica, Apple rassicura gli utenti iPhone utenti su questo bug di sicurezza.
L’azienda afferma che la vulnerabilità di Maps corretta la scorsa settimana “poteva essere sfruttata solo da app senza sandbox su macOS”. La correzione è stata inclusa in tutti gli aggiornamenti software di Apple la scorsa settimana semplicemente perché quella base di codice è condivisa anche da iOS, iPadOS, tvOS e watchOS.
“Il suggerimento che questa vulnerabilità avrebbe potuto consentire alle app di eludere i controlli sulla privacy degli utenti su iPhone è falso”, afferma Apple nella sua dichiarazione.
Alcuni giorni fa, il giornalista brasiliano Rodrigo Ghedin aveva detto che iFood, un’app brasiliana per la consegna di cibo, ha avuto accesso alla posizione di un utente in iOS 16.2 anche quando l’utente aveva negato all’app l’accesso a questa informazione.
iFood, la più grande app brasiliana per la consegna di cibo valutata 5,4 miliardi di dollari, accedeva alla sua posizione quando non era aperta/in uso, aggirando un’impostazione iOS che limitava l’accesso di un’app a determinate funzionalità del telefono. Anche quando il lettore ha negato completamente l’accesso alla posizione, l’app di iFood ha continuato ad accedere alla posizione del suo telefono.
È solo un’ipotesi che l’app abbia sfruttato il bug in questione, ma è una spiegazione molto plausibile. Ciò che l’app iFood ha fatto non avrebbe dovuto essere possibile, mentre il bug descritto da Apple lo avrebbe apparentemente reso possibile.
Apple rassicura gli utenti utenti su questo bug di sicurezza affermando che, dopo ulteriori indagini, l’app non ha aggirato alcun controllo di sicurezza degli utenti.
In Apple, crediamo fermamente che gli utenti debbano scegliere quando condividere i propri dati e con chi. La scorsa settimana abbiamo emesso un avviso per una vulnerabilità della privacy che poteva essere sfruttata solo da app senza sandbox su macOS. La base di codice che abbiamo corretto è condivisa da iOS e iPadOS, tvOS e watchOS, quindi la correzione e l’avviso sono stati propagati anche a quei sistemi operativi, nonostante non fossero mai a rischio. Il suggerimento che questa vulnerabilità avrebbe potuto consentire alle app di eludere i controlli utente su iPhone è falso.
Un rapporto ha anche suggerito erroneamente che un’app iOS stava sfruttando questa o un’altra vulnerabilità per aggirare il controllo dell’utente sui dati sulla posizione. La nostra indagine di follow-up ha concluso che l’app non stava aggirando i controlli degli utenti attraverso alcun meccanismo.
La vulnerabilità di Apple Maps corretta il mese scorso è stata segnalata ad Apple da un ricercatore anonimo.