Se sfruttato, un bug nella privacy di Apple Mappe, risolto con iOS 16.3, potrebbe aver permesso alle altre app installate sul terminale di raccogliere dati sulla posizione degli utenti senza autorizzazione.
Almeno un’app sembra averlo fatto, e un giornalista ha ipotizzato che lo stesso bug della privacy avrebbe potuto essere sfruttato da innumerevoli app in un periodo di tempo sconosciuto. Ricordiamo che iOS 16.3 è stato rilasciato in versione definitiva per tutti gli utenti la scorsa settimana, dopo un mese di beta test.
Le note sulla nuova versione iOS diramate da Apple non elencano tutte le correzioni di bug; invece, quelle relative alla sicurezza sono per lo più trattate in un documento separato. Apple elenca 12 diverse patch di sicurezza, tra cui una per un bug sulla privacy riscontrato in Apple Mappe:
Disponibile per: iPhone 8 e versioni successive, iPad Pro (tutti i modelli), iPad Air 3a generazione e versioni successive, iPad 5a generazione e versioni successive e iPad mini 5a generazione e versioni successive
Impatto: un’app potrebbe essere in grado di bypassare le preferenze sulla privacy
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-23503: un ricercatore anonimo
Sembra essere stato sfruttato attivamente
Non è dato sapere da quante app è stato sfruttato il bug di Apple Mappe, ma sembra certamente che il bug sia stato attivamente sfruttato da almeno un’app. Il giornalista brasiliano Rodrigo Ghedin riferisce che iFood, un’app di consegna di cibo brasiliano, è stata in grado di accedere alla posizione di un utente in iOS 16.2 anche quando l’utente ha negato all’app l’accesso alla posizione.
Così l’app iFood è stata in grado di bypassare i rigidi controlli di sistema. Le domande sollevate dallo scrittore di sicurezza Arstechnica Dan Goodin, allora, non sono da sottovalutare:
da quanto tempo esiste questa vulnerabilità? Quali altre app lo hanno sfruttato? Quanti dati sulla posizione sono stati raccolti?
Potrebbero esserci state enormi quantità di dati sulla posizione raccolti senza che gli utenti sospettassero nulla. Un altro utente nel thread ha ipotizzato che il bug potesse essere correlato a quando un utente ha concesso l’accesso alla posizione a un’app e successivamente l’ha revocata o limitata (ad esempio, da “In qualsiasi momento” a “Solo quando si utilizza l’app”) – con iOS che non ha aggiornato correttamente l’elenco delle app in grado di accedere ai dati sulla posizione.
È improbabile che Apple commenti la notizia poiché il bug è attualmente elencato come riservato, il che significa che i dettagli non saranno rilasciati al momento: occorre pazientare un po’, probabilmente quando la maggior parte degli utenti iOS avrà aggiornato a iOS 16.3.
Apple Mappe è uno dei fronti di battaglia nella guerra silenziosa contro Google.
