Con il rilascio di iOS 16.3 per iPhone che è avvenuto nei giorni addietro, Apple ha provveduto a risolvere un bug relativo alla privacy dell’app Mappe che potrebbe aver permesso alle altre app installate sul dispositivo di raccogliere dati sulla posizione degli utenti senza autorizzazione.
Apple Mappe: bug sulla privacy della posizione degli utenti
Stando a quanto riferito, almeno un’app sembra averlo fatto ed è stato ipotizzato che il medesimo bug della privacy sarebbe potuto essere sfruttato da innumerevoli app in un periodo di tempo sconosciuto.
Il giornalista brasiliano Rodrigo Ghedin riferisce infatti che iFood, un’app di consegna di cibo brasiliano, è stata in grado di accedere alla posizione di un utente in iOS 16.2 anche quando questo ha negato all’app l’accesso alla posizione.
Resta da capire, dunque, da quanto tempo, di preciso, esiste questa vulnerabilità, quali eventuali altri app l’hanno sfruttata e quali dati sulla posizione sono stati raccolti.
Da tenere presente che le note sulla nuova versione iOS condivise da Apple non elencano tutte le correzioni di bug, mentre quelle relative alla sicurezza vengono trattate in un documento separato. In riferito a iOS 16.3, Apple elenca 12 diverse patch di sicurezza, tra cui una per un bug sulla privacy riscontrato in Apple Mappe, appunto.
Disponibile per: iPhone 8 e versioni successive, iPad Pro (tutti i modelli), iPad Air 3a generazione e versioni successive, iPad 5a generazione e versioni successive e iPad mini 5a generazione e versioni successive
Impatto: un’app potrebbe essere in grado di bypassare le preferenze sulla privacy
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-23503: un ricercatore anonimo
Sembra essere stato sfruttato attivamente