iOS 16.3 была выпущена для широкой публики в прошлом месяце и, помимо других новых функций, также включала множество обновлений безопасности. Одно из этих исправлений устраняло ошибку конфиденциальности Apple Maps, которая могла позволить приложению «обходить настройки конфиденциальности».
В пятничном заявлении для Apple пояснила, что пользователи iPhone «никогда не подвергались риску» из-за этой уязвимости. Компания также опровергла сообщение о том, что бразильское приложение для доставки еды получает доступ к местоположению пользователя без разрешения в iOS 16.2.
Отсутствие боковой загрузки iPhone спасло его от ошибки конфиденциальности Mac
Apple заявляет, что уязвимость Карт, исправленная на прошлой неделе, «может быть использована только из приложений без песочницы в macOS». Исправление было включено во все обновления программного обеспечения Apple на прошлой неделе просто потому, что эта кодовая база используется совместно с iOS и iPadOS, tvOS и watchOS.
«Предположение о том, что эта уязвимость могла позволить приложениям обходить пользовательские элементы управления на iPhone, является ложным», — говорится в заявлении Apple.
Имея в виду это пояснение, Apple также опровергает отчет, в котором говорится, что приложение для iPhone было уличено в использовании уязвимости для «обхода контроля пользователя над данными о местоположении». Это отсылка к отчету на прошлой неделе, в котором говорилось, что iFood, одно из ведущих приложений для доставки еды в Бразилии, «получало доступ к местоположению пользователя в iOS 16.2, даже когда пользователь отказывал приложению во всем доступе к местоположению».
В своем обвинении в отчете на прошлой неделе не было ясно, использовала ли iFood вышеупомянутую уязвимость Apple Maps (опять же, которая могла быть использована только в macOS) или что-то другое. Несмотря на это, Apple заявляет, что «последующее расследование пришло к выводу, что приложение не обходит пользовательский контроль с помощью какого-либо механизма».
Полное заявление Apple для приведено ниже:
Мы в Apple твердо убеждены, что пользователи должны сами выбирать, когда и с кем делиться своими данными. На прошлой неделе мы выпустили предупреждение об уязвимости конфиденциальности, которую можно использовать только в приложениях без песочницы в macOS. База кода, которую мы исправили, используется совместно с iOS и iPadOS, tvOS и watchOS, поэтому исправление и рекомендации были распространены и на эти операционные системы, несмотря на то, что они никогда не подвергались риску. Предположение о том, что эта уязвимость могла позволить приложениям обходить пользовательские элементы управления на iPhone, является ложным.
В отчете также ошибочно предполагалось, что приложение iOS использовало эту или другую уязвимость, чтобы обойти пользовательский контроль над данными о местоположении. Наше последующее расследование пришло к выводу, что приложение не обходит пользовательские средства контроля с помощью какого-либо механизма.
Об уязвимости Apple Maps, исправленной в прошлом месяце, сообщил Apple анонимный исследователь. Программа Apple Security Bounty поощряет исследователей безопасности отправлять свои результаты в Apple. Программа также предлагает вознаграждение исследователям безопасности, которые помогают Apple в ее усилиях по «защите безопасности и конфиденциальности пользователей».