Apple разъясняет, что ошибка Карт не позволяла делиться вашим местоположением без согласия

Apple опровергла сообщения о том, что ошибка конфиденциальности Apple Maps позволяла без разрешения делиться географическим местоположением людей со сторонними приложениями.

• Что происходит? Заявление Apple опровергло сообщения о том, что уже исправленная ошибка позволяла сторонним приложениям обходить пользовательский контроль над данными о местоположении.
• Зачем заботиться? Приложение iFood могло использовать конфиденциальность для сбора данных о местоположении, даже если пользователь запретил приложению доступ к местоположению.
• Что делать? Перейдите к элементам управления конфиденциальностью и проверьте разрешения местоположения.

Apple опровергает заявления об ошибках конфиденциальности Maps

Бразильский журналист Родриго Гуедин недавно обнаружил, что уязвимость конфиденциальности в iOS и iPadOS может позволить сторонним приложениям для iPhone и iPad собирать данные о местоположении пользователей без их согласия в течение неизвестного периода времени, даже если доступ к местоположению полностью отключен в настройках конфиденциальности iPhone.

В его отчете утверждается, что бразильское приложение для доставки еды смогло использовать уязвимость, чтобы продолжить сбор данных о местоположении даже после того, как пользователь отозвал разрешение для приложения. Apple ответила на отчет, отрицая, что ошибка Карт когда-либо позволяла приложениям обходить настройки конфиденциальности пользователей.

Вот заявление, которое Apple дала 9to5Mac :

Предположение о том, что эта уязвимость может позволить приложениям обходить пользовательские элементы управления на iPhone, является ложным. В отчете также ошибочно предполагалось, что приложение для iOS использовало эту или другую уязвимость, чтобы обойти пользовательский контроль над данными о местоположении. Наше последующее расследование пришло к выводу, что приложение не обходит пользовательские элементы управления с помощью какого-либо механизма.

Команда iFood также выступила с заявлением, в котором говорится, что она изучила проблему и не обнаружила в программном обеспечении кода, который позволил бы получить доступ к местоположению пользователя без авторизации. Любые собранные данные используются только для целей, изложенных в заявлении о конфиденциальности iFood.

iOS 16.3 исправляет ошибку конфиденциальности в Apple Maps

В iOS 16.3 появилось множество обновлений и исправлений безопасности, включая исправление ошибки Apple Maps, которая могла позволить приложению обойти настройки конфиденциальности. Согласно документу безопасности на веб-сайте Apple , «логическая проблема была решена с улучшенным управлением состоянием», чтобы устранить ошибку.

Согласно заявлению компании, предоставленному 9to5Mac, эта ошибка может быть использована только в приложениях без песочницы в macOS.

База кода, которую мы исправили, является общей для iOS и iPadOS, tvOS и watchOS, поэтому исправление и рекомендации были распространены на эти операционные системы, даже если они никогда не подвергались риску.

Проверьте настройки конфиденциальности

Вам рекомендуется проверить разрешения на конфиденциальность, которые вы предоставили приложениям, выбрав «Настройки» → «Конфиденциальность» → «Службы определения местоположения» и просмотрев доступ к местоположению, который вы предоставили каждому из перечисленных приложений. Вообще говоря, рекомендуется ограничить доступ с «В любое время» на «Только при использовании».

Неясно, как долго существует эта уязвимость, но отрадно видеть, что обновления iOS 16.3 и iPadOS 16.3 ее исправили.