Ошибка конфиденциальности Apple Maps, исправленная в iOS 16.3, могла позволить приложениям собирать данные о местоположении пользователя без разрешения.
По крайней мере, одно приложение, похоже, сделало это, и репортер по безопасности предположил, что одна и та же ошибка конфиденциальности могла быть использована бесчисленным количеством приложений в течение неизвестного периода времени…
iOS 16.3
iOS 16.3 стала общедоступной на прошлой неделе после месяца бета-тестирования. Главной особенностью была поддержка физических ключей безопасности как часть процесса входа с двухфакторной аутентификацией на новых устройствах.
Другие функции, отмеченные в примечаниях к выпуску:
Новые обои Unity посвящены истории и культуре афроамериканцев в честь Месяца афроамериканской истории Поддержка HomePod (2-го поколения) Экстренные вызовы SOS теперь требуют удерживания боковой кнопки с кнопкой увеличения или уменьшения громкости, а затем отпускания, чтобы предотвратить непреднамеренные экстренные вызовы
А также упоминание о нескольких исправлениях ошибок. Посмотрите наш видеообзор всех новых функций.
Ошибка конфиденциальности Apple Maps
В примечаниях к выпуску iOS от Apple перечислены не все исправления ошибок; вместо этого связанные с безопасностью в основном рассматриваются в отдельном документе. Apple перечисляет 12 различных исправлений безопасности, в том числе одно для ошибки конфиденциальности Apple Maps:
Доступно для: iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие. Приложение могло обходить настройки конфиденциальности.
Описание. Логическая проблема устранена путем улучшенного управления состоянием.
CVE-2023-23503: анонимный исследователь
По-видимому, активно эксплуатировался
Мы не знаем наверняка, но определенно похоже, что ошибка активно использовалась по крайней мере одним приложением. Бразильский журналист Родриго Гедин сообщает, что iFood, бразильское приложение для доставки еды стоимостью в несколько миллиардов долларов, обнаружило доступ к местоположению пользователя в iOS 16.2, даже когда пользователь запретил приложению доступ ко всем данным о местоположении.
Читатель Manual do Usuário (мой блог на португальском языке) заметил сбой/ошибку при использовании iOS 16.2.
iFood, крупнейшее бразильское приложение для доставки еды, стоимость которого оценивается в 5,4 миллиарда долларов США, получало доступ к его местоположению, когда оно не было открыто или не использовалось, в обход настроек iOS, ограничивающих доступ приложения к определенным функциям телефона. Даже когда читатель полностью отказал в доступе к местоположению, приложение iFood продолжало получать доступ к местоположению его телефона.
Это просто предположение, что это использовало рассматриваемую ошибку, но это, по крайней мере, очень правдоподобное объяснение. То, что сделало приложение iFood, не должно было быть возможным, в то время как описанная Apple ошибка, казалось бы, сделала это возможным.
Вопросы, поднятые автором статьи по безопасности Arstechnica Дэном Гудином, заключаются в следующем: как долго существует эта уязвимость? Какие другие приложения использовали его? Сколько данных о местоположении было собрано с его помощью?
Возможно, были собраны огромные объемы данных о местоположении, и пользователи ничего не подозревали. Я спрашивал у Apple подробности, но компания никогда не отвечала.
Другой пользователь в ветке предположил, что ошибка могла быть связана с тем, что пользователь предоставил доступ к местоположению приложению, а затем отозвал или ограничил его (например, с «В любое время» на «Только при использовании») — с ошибкой iOS. чтобы правильно обновить список приложений, имеющих доступ к данным о местоположении.
Apple вряд ли прокомментирует, поскольку ошибка в настоящее время указана как «зарезервированная», что означает, что подробности не будут опубликованы до более позднего времени, вероятно, когда большинство пользователей iOS обновятся до iOS 16.3 (или исправленная версия более раннего выпуска). .
Фото: Тамас Тузес-Катаи/Unsplash
