Apple, 동의 없이 위치 공유를 막는 지도 버그 해명

Apple은 Apple Maps 개인 정보 버그로 인해 사람들의 지리적 위치가 허가 없이 타사 앱과 공유될 수 있다는 보고를 거부했습니다.

• 무슨 일이야? Apple의 성명서는 이미 수정된 버그로 인해 타사 앱이 위치 데이터에 대한 사용자 제어를 우회할 수 있다는 보고를 거부했습니다.
• 왜 신경써? 사용자가 위치에 대한 앱의 모든 액세스를 거부한 경우에도 iFood 앱에서 개인 정보를 사용하여 위치 데이터를 수집했을 수 있습니다.
• 무엇을 해야 합니까? 개인 정보 제어로 이동하여 위치 권한을 확인하십시오.

Apple은지도 개인 정보 버그 주장을 거부합니다.

브라질 언론인 Rodrigo Guedin은 최근 iOS 및 iPadOS의 개인정보 보호 취약점으로 인해 iPhone의 개인정보 보호 설정에서 위치 액세스가 완전히 비활성화된 경우에도 제3자 iPhone 및 iPad 앱이 알 수 없는 기간 동안 사용자의 동의 없이 사용자의 위치 데이터를 수집할 수 있음을 발견했습니다.

그의 보고서는 브라질 음식 배달 앱이 사용자가 앱에 대한 권한을 취소한 후에도 위치 데이터를 계속 수집하기 위해 취약점을 악용할 수 있다고 주장합니다. Apple은 지도 버그로 인해 앱이 사용자의 개인 정보 설정을 우회하도록 허용했다는 사실을 부인함으로써 보고서에 대응했습니다.

다음은 Apple이 9to5Mac 에 제공한 성명입니다 .

이 취약점으로 인해 응용 프로그램이 iPhone에서 사용자 컨트롤을 우회할 수 있다는 제안은 거짓입니다. 보고서는 또한 iOS 앱이 위치 데이터에 대한 사용자 제어를 우회하기 위해 이 취약점이나 다른 취약점을 악용했다고 잘못 제안했습니다. 후속 조사에서 앱이 어떤 메커니즘을 통해서도 사용자 컨트롤을 우회하지 않는다는 결론을 내렸습니다.

iFood 팀은 또한 이 문제를 조사했으며 소프트웨어에서 승인 없이 사용자의 위치에 액세스할 수 있는 코드를 발견하지 못했다는 성명을 발표했습니다. 수집된 모든 데이터는 iFood 개인 정보 보호 정책에 명시된 목적으로만 사용됩니다.

iOS 16.3에서 Apple 지도의 개인정보 보호 버그 수정

iOS 16.3에는 앱이 개인 정보 설정을 우회할 수 있는 Apple Maps 버그에 대한 수정 사항을 포함하여 다양한 업데이트 및 보안 수정 사항이 포함되었습니다. Apple 웹 사이트 의 보안 문서에 따르면 오류를 해결하기 위해 “향상된 상태 관리로 논리적 문제가 해결되었습니다”.

9to5Mac에서 제공한 회사 성명에 따르면 이 버그는 macOS의 샌드박스가 아닌 앱에서만 악용될 수 있습니다.

우리가 패치한 코드 베이스는 iOS 및 iPadOS, tvOS 및 watchOS에서 공유되므로 패치 및 권장 사항은 위험에 노출되지 않았음에도 해당 운영 체제로 확장되었습니다.

개인 정보 설정 검토

설정 → 개인 정보 → 위치 서비스로 이동하여 나열된 각 앱에 부여한 위치 액세스 권한을 검토하여 앱에 부여한 개인 정보 권한을 검토하는 것이 좋습니다. 일반적으로 “언제든지”에서 “사용할 때만”으로 액세스를 제한하는 것이 좋습니다.

이 취약점이 얼마나 오래 지속되었는지는 불분명하지만 iOS 16.3 및 iPadOS 16.3 업데이트로 문제가 해결되었다는 점은 고무적입니다.