iOS 16.3 ha corretto un grave bug di Apple Maps il quale consentiva alle app di raccogliere i dati sulla nostra posizione senza alcun consenso.
Da un rapporto emerge che almeno un’app sembra averlo fatto e, secondo un reporter di sicurezza, lo stesso bug sulla privacy potrebbe essere stato sfruttato da innumerevoli app in un periodo di tempo sconosciuto.
I changelog condivisi da Apple per le nuove versioni di iOS non elencano tutte le correzioni di bug, ma quelle relative alla sicurezza sono trattate in un documento separato. Apple elenca 12 diverse patch di sicurezza, inclusa una per un bug sulla privacy di Apple Maps:
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un’app potrebbe bypassare le preferenze sulla privacy.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
Non sappiamo con certezza il numero di app che ha sfruttato questo bug, ma almeno una l’ha fatto. Il giornalista brasiliano Rodrigo Ghedin riferisce che iFood, un’app di consegna di cibo brasiliana multimiliardaria, ha avuto accesso alla posizione di un utente in iOS 16.2 anche quando l’utente ha negato all’app l’accesso alla posizione.
In questo momento diversi ricercatori di purezza si stanno ponendo le seguenti domande: da quanto tempo esiste questa vulnerabilità? Quali altre app l’hanno sfruttata? Quanti dati sulla posizione sono stati raccolti utilizzandola?
Difficile rispondere a queste domande. Tuttavia, quel che è certo è che il bug è stato risolto con iOS 16.3 e, almeno per il momento, i nostri dati sono al sicuro.