Un bug Apple Maps corrigé dans iOS 16.3 peut avoir permis aux applications de collecter des données de localisation des utilisateurs sans autorisation.
Les dernières informations suggèrent qu’au moins une application semble l’avoir fait, et un expert en sécurité a émis l’hypothèse que le même bug de confidentialité aurait pu être exploité par d’innombrables applications sur une période de temps inconnue.
Les notes de version iOS ne répertorient pas tous les correctifs de bugs, mais ceux liés à la sécurité sont principalement répertoriés dans un document séparé. Apple répertorie 12 correctifs de sécurité différents pour iOS 16.3, dont un pour un bug de confidentialité d’Apple Maps :
« Disponible pour : iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
Conséquence : une application peut être en mesure de remplacer vos préférences de confidentialité
Description : un problème a été résolu par une meilleure gestion de l’état. »
Ce n’est pas connu avec certitude, mais il semble que le bug soit activement exploité par au moins une application. Le journaliste brésilien Rodrigo Ghedin rapporte qu’iFood, une application de livraison de nourriture brésilienne, avait accès à l’emplacement d’un utilisateur dans iOS 16.2 même lorsque l’utilisateur a refusé à l’application l’accès à ces informations.
iFood, la plus grande application brésilienne de livraison de nourriture évaluée à 5,4 milliards de dollars, a accédé à son emplacement lorsqu’elle n’était pas ouverte/utilisée, en contournant un paramètre iOS qui limitait l’accès d’une application à certaines fonctionnalités du téléphone. Même lorsque le lecteur a complètement refusé l’accès à l’emplacement, l’application iFood a continué à accéder à l’emplacement de son téléphone.
Ce n’est que spéculation que l’application a exploité le bogue en question, mais c’est une explication très plausible. Ce que l’application iFood a fait n’aurait pas dû être possible, alors que le bug décrit par Apple l’a apparemment rendu possible.
Les questions soulevées par l’expert en sécurité d’Arstechnica, Dan Goodin, sont : depuis combien de temps cette vulnérabilité existe-t-elle ? Quelles autres applications en ont profité ? Combien de données de localisation ont été collectées à l’aide de celui-ci ?
Il se peut que des quantités massives de données de localisation aient été collectées sans que les utilisateurs ne se doutent de quoi que ce soit. La seule chose sûre est que le bug a été corrigé avec iOS 16.3.
