Mapy Apple z błędem umożliwiającym gromadzenie lokalizacji

Firma Apple słynie z wysokiego poziomu zabezpieczeń i ochrony prywatności, ale nawet najlepszym czasami zdarzają się wpadki.

Firma Apple wraz z wydaniem aktualizacji do iOS 16.3 oraz iPadOS 16.3 załatała błąd w zabezpieczeniach prywatności domyślnej aplikacji do nawigacji - Mapy Apple. Oprogramowanie mogło przekazywać dane o lokalizacji użytkownika bez jego zgody do aplikacji firm trzecich.

Mapy Apple miały poważną lukę w zabezpieczeniach
Źródło: Apple.com

Mapy Apple miały poważną lukę w zabezpieczeniach

Źródło: Apple.com

Z danych przekazanych przez portal 9to5mac, co najmniej jedna aplikacja dostępna w sklepie App Store wykorzystała obecną w iOS 16 i aplikacji Mapy lukę do zbierania informacji o lokalizacji użytkowników.

Zobacz również:

  • Samsung otwiera szampana - sprzedał więcej smartfonów od Apple

Apple wraz z wydaniem nowej aktualizacji do iOS 16.3 udostępniło ogólny dziennik zmian, w którym nie wyróżniono wszystkich aktualizacji. Apple wymienia 12 poprawek zabezpieczeń, w tym jedną dotyczącą aplikacji Mapy Apple. Poniżej przytaczamy jej opis:

"Aktualizacja dostępna dla: iPhone 8 i nowsze, iPad Pro (wszystkie modele), iPad Air 3. generacji i nowsze, iPad 5. generacji i nowsze oraz iPad mini 5. generacji i nowsze

Skutki: Aplikacja może być w stanie ominąć preferencje prywatności

Opis: Zajęto się problemem logicznym z poprawionym zarządzaniem stanami.

Lukę opisano jako CVE-2023-23503"

Brazylijski dziennikarz Rodrigo Ghedin donosi, że aplikacja iFood - lokalny odpowiednik Uber Eats, wykorzystała lukę w iOS 16.2 do uzyskania lokalizacji z Apple Maps nawet w przypadku, gdy użytkownik odmówił jej wszelkiego dostępu do danych lokalizacyjnych.

Aktualnie nie wiadomo jak długo istniała luka w zabezpieczeniach oraz czy istnieją inne aplikacje, które ją wykorzystywały. Nie wiadomo również nic o potencjalnych danych, które został wykradzione poprzez wyżej wymienioną lukę.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200