Christophe
iOS 16.3 a été rendu public le mois dernier et, parmi d’autres nouvelles fonctionnalités, il comprenait également une variété de mises à jour de sécurité. L’un de ces correctifs corrigeait un bug de confidentialité d’Apple Maps qui aurait pu permettre à une application de « contourner les préférences de confidentialité ».
Dans une déclaration à Netcost-security.fr vendredi, Apple a précisé que les utilisateurs d’iPhone « n’ont jamais été à risque » à cause de cette vulnérabilité. La société a également réfuté un rapport selon lequel une application de livraison de nourriture brésilienne accédait à l’emplacement de l’utilisateur sans autorisation dans iOS 16.2.
Le manque de chargement latéral de l’iPhone l’a sauvé du bug de confidentialité de Mac
Apple affirme que la vulnérabilité de Maps corrigée la semaine dernière « ne peut être exploitée qu’à partir d’applications sans bac à sable sur macOS ». Le correctif a été inclus dans toutes les mises à jour logicielles d’Apple la semaine dernière simplement parce que cette base de code est également partagée par iOS et iPadOS, tvOS et watchOS.
« La suggestion selon laquelle cette vulnérabilité aurait pu permettre aux applications de contourner les contrôles de l’utilisateur sur l’iPhone est fausse », déclare Apple dans son communiqué.
Avec cette clarification à l’esprit, Apple réfute également un rapport selon lequel une application iPhone a été surprise en train d’exploiter une vulnérabilité pour « contourner le contrôle de l’utilisateur sur les données de localisation ». Cela fait référence à un rapport de la semaine dernière selon lequel iFood, l’une des principales applications de livraison de nourriture au Brésil, « accédait à l’emplacement d’un utilisateur dans iOS 16.2 même lorsque l’utilisateur refusait à l’application tout accès à l’emplacement ».
Dans son accusation, le rapport de la semaine dernière n’a pas précisé si iFood exploitait la vulnérabilité Apple Maps susmentionnée (encore une fois, qui n’aurait pu être exploitée que sur macOS), ou quelque chose de différent. Quoi qu’il en soit, Apple affirme que son « enquête de suivi a conclu que l’application ne contournait pas les contrôles des utilisateurs par le biais d’un quelconque mécanisme ».
La déclaration complète d’Apple à Netcost-security.fr est ci-dessous :
Chez Apple, nous croyons fermement que les utilisateurs doivent choisir quand partager leurs données et avec qui. La semaine dernière, nous avons publié un avis concernant une vulnérabilité de confidentialité qui ne pouvait être exploitée qu’à partir d’applications sans bac à sable sur macOS. La base de code que nous avons corrigée est partagée par iOS et iPadOS, tvOS et watchOS, de sorte que le correctif et l’avis ont également été propagés à ces systèmes d’exploitation, malgré le fait qu’ils n’aient jamais été à risque. La suggestion selon laquelle cette vulnérabilité aurait pu permettre aux applications de contourner les contrôles de l’utilisateur sur iPhone est fausse.
Un rapport a également suggéré à tort qu’une application iOS exploitait cette vulnérabilité ou une autre pour contourner le contrôle de l’utilisateur sur les données de localisation. Notre enquête de suivi a conclu que l’application ne contournait les contrôles des utilisateurs par aucun mécanisme.
La vulnérabilité Apple Maps corrigée le mois dernier a été signalée à Apple par un chercheur anonyme. Le programme Apple Security Bounty encourage les chercheurs en sécurité à soumettre leurs conclusions à Apple. Le programme offre également des récompenses aux chercheurs en sécurité qui aident Apple dans ses efforts pour « protéger la sécurité et la confidentialité des utilisateurs ».
Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :