Apple опровергла сообщения о том, что ошибка конфиденциальности Apple Maps позволяла без разрешения делиться географическим местоположением людей со сторонними приложениями.
- Что происходит? Заявление Apple опровергло сообщения о том, что уже исправленная ошибка позволяла сторонним приложениям обходить пользовательский контроль над данными о местоположении.
- Зачем заботиться? Приложение iFood могло использовать конфиденциальность для сбора данных о местоположении, даже если пользователь запретил приложению доступ к местоположению.
- Что делать? Перейдите к элементам управления конфиденциальностью и проверьте разрешения местоположения.
Apple опровергает заявления об ошибках конфиденциальности Maps
Бразильский журналист Родриго Гуедин недавно обнаружил, что уязвимость конфиденциальности в iOS и iPadOS может позволить сторонним приложениям для iPhone и iPad собирать данные о местоположении пользователей без их согласия в течение неизвестного периода времени, даже если доступ к местоположению полностью отключен в настройках конфиденциальности iPhone.
В его отчете утверждается, что бразильское приложение для доставки еды смогло использовать уязвимость, чтобы продолжить сбор данных о местоположении даже после того, как пользователь отозвал разрешение для приложения. Apple ответила на отчет, отрицая, что ошибка Карт когда-либо позволяла приложениям обходить настройки конфиденциальности пользователей.
Вот заявление, которое Apple дала 9to5Mac :
Предположение о том, что эта уязвимость может позволить приложениям обходить пользовательские элементы управления на iPhone, является ложным. В отчете также ошибочно предполагалось, что приложение для iOS использовало эту или другую уязвимость, чтобы обойти пользовательский контроль над данными о местоположении. Наше последующее расследование пришло к выводу, что приложение не обходит пользовательские элементы управления с помощью какого-либо механизма.
Команда iFood также выступила с заявлением, в котором говорится, что она изучила проблему и не обнаружила в программном обеспечении кода, который позволил бы получить доступ к местоположению пользователя без авторизации. Любые собранные данные используются только для целей, изложенных в заявлении о конфиденциальности iFood.
iOS 16.3 исправляет ошибку конфиденциальности в Apple Maps
В iOS 16.3 появилось множество обновлений и исправлений безопасности, включая исправление ошибки Apple Maps, которая могла позволить приложению обойти настройки конфиденциальности. Согласно документу безопасности на веб-сайте Apple , «логическая проблема была решена с улучшенным управлением состоянием», чтобы устранить ошибку.
Согласно заявлению компании, предоставленному 9to5Mac, эта ошибка может быть использована только в приложениях без песочницы в macOS.
База кода, которую мы исправили, является общей для iOS и iPadOS, tvOS и watchOS, поэтому исправление и рекомендации были распространены на эти операционные системы, даже если они никогда не подвергались риску.
Проверьте настройки конфиденциальности
Вам рекомендуется проверить разрешения на конфиденциальность, которые вы предоставили приложениям, выбрав «Настройки» → «Конфиденциальность» → «Службы определения местоположения» и просмотрев доступ к местоположению, который вы предоставили каждому из перечисленных приложений. Вообще говоря, рекомендуется ограничить доступ с «В любое время» на «Только при использовании».
Неясно, как долго существует эта уязвимость, но отрадно видеть, что обновления iOS 16.3 и iPadOS 16.3 ее исправили.