Le bug de confidentialité d’Apple Maps peut avoir permis aux applications de collecter des données de localisation sans autorisation

Le bogue de confidentialité d'Apple Maps peut avoir permis aux applications de collecter des données de localisation sans autorisation

Un bug de confidentialité d’Apple Maps corrigé dans iOS 16.3 peut avoir permis aux applications de collecter des données de localisation des utilisateurs sans autorisation.

Au moins une application semble l’avoir fait, et un journaliste de sécurité a émis l’hypothèse que le même bug de confidentialité aurait pu être exploité par d’innombrables applications sur une période de temps inconnue…

iOS 16.3

iOS 16.3 est devenu public la semaine dernière, après un mois en version bêta. La principale fonctionnalité était la prise en charge des clés de sécurité physiques dans le cadre du processus de connexion par authentification à deux facteurs sur les nouveaux appareils.

Les autres fonctionnalités mises en évidence dans les notes de version étaient :

  • Le nouveau fond d’écran Unity rend hommage à l’histoire et à la culture des Noirs pour célébrer le Mois de l’histoire des Noirs
  • Socket en charge de HomePod (2e génération)
  • Les appels SOS d’urgence nécessitent désormais de maintenir le bouton latéral enfoncé avec le bouton d’augmentation ou de diminution du volume, puis de le relâcher afin d’éviter les appels d’urgence par inadvertance

Ainsi que la mention de plusieurs corrections de bugs. Découvrez notre présentation vidéo de toutes les nouvelles fonctionnalités.

Bug de confidentialité Apple Maps

Les notes de version iOS d’Apple ne répertorient pas tous les correctifs de bugs. au lieu de cela, ceux liés à la sécurité sont principalement couverts dans un document séparé. Apple répertorie 12 correctifs de sécurité différents, dont un pour un bug de confidentialité d’Apple Maps :

Disponible pour : iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures

Conséquence : une application peut être en mesure de contourner les préférences de confidentialité

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2023-23503 : un chercheur anonyme

semble avoir été activement exploité

Nous ne savons pas avec certitude, mais il semble certainement que le bug a été activement exploité par au moins une application. Le journaliste brésilien Rodrigo Ghedin rapporte qu’iFood, une application de livraison de nourriture brésilienne de plusieurs milliards de dollars, s’est avérée accéder à l’emplacement d’un utilisateur dans iOS 16.2 même lorsque l’utilisateur a refusé à l’application tout accès à l’emplacement.

Un lecteur de Manuel de l’utilisateur (mon blog écrit en portugais) a remarqué le problème/bug lors de l’utilisation d’iOS 16.2.

iFood, la plus grande application brésilienne de livraison de nourriture évaluée à 5,4 milliards de dollars, accédait à sa position lorsqu’elle n’était pas ouverte/utilisée, contournant un paramètre iOS qui restreignait l’accès d’une application à certaines fonctionnalités du téléphone. Même lorsque le lecteur a complètement refusé l’accès à l’emplacement, l’application d’iFood a continué à accéder à l’emplacement de son téléphone.

C’est juste une spéculation que cela a exploité le bug en question, mais c’est au moins une explication très plausible. Ce que l’application iFood a fait n’aurait pas dû être possible, alors que le bug décrit par Apple aurait apparemment rendu cela possible.

Les questions soulevées par Arstechnique l’auteur de la sécurité Dan Goodin est : Depuis combien de temps cette vulnérabilité existe-t-elle ? Quelles autres applications l’ont exploité? Combien de données de localisation ont été recueillies à l’aide de celui-ci ?

Il se peut que des quantités massives de données de localisation aient été collectées sans que les utilisateurs ne se doutent de quoi que ce soit. Je demanderais des détails à Apple, mais la société ne répondrait jamais.

Un autre utilisateur du fil de discussion a émis l’hypothèse que le bug était peut-être lié au moment où un utilisateur a accordé l’accès à l’emplacement d’une application, puis l’a révoqué ou l’a limité (par exemple, de « À tout moment » à « Uniquement lors de l’utilisation ») – avec iOS échouant à correctement mettre à jour la liste des applications capables d’accéder aux données de localisation.

Il est peu probable qu’Apple commente, car le bug est actuellement répertorié comme « réservé », ce qui indique que les détails ne seront publiés que plus tard, probablement lorsque la plupart des utilisateurs d’iOS auront mis à niveau vers iOS 16.3 (ou une version corrigée d’une version antérieure) .

Photo : Tamas Tuzes-Katai/Unsplash


Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :

YouTube video