Apple: “Il bug di Mappe non ha consentito alle app di raccogliere dati sensibili”
iOS 16.3, rilasciato il mese scorso, ha portato su iPhone nuove funzionalità, ma anche una serie di aggiornamenti di sicurezza.
Una di queste correzioni ha risolto un bug sulla privacy di Mappe che avrebbe potuto consentire a un’app di “bypassare le preferenze sulla privacy”. Adesso, Apple ha chiarito che gli utenti di iPhone “non sono mai stati a rischio” a causa di questa vulnerabilità.
Il colosso di Cupertino afferma che la vulnerabilità di Mappe corretta la scorsa settimana “potrebbe essere sfruttata solo da app senza sandbox su macOS”. La correzione è stata inclusa in tutti gli aggiornamenti software di Apple semplicemente perché quella base di codice è condivisa anche da iOS e iPadOS, tvOS e watchOS.
“Il suggerimento che questa vulnerabilità avrebbe potuto consentire alle app di eludere i controlli degli utenti su iPhone è falso”, ha dichiarato Apple.
Apple confuta anche un rapporto secondo cui un’app per iPhone è stata in grado di sfruttare una vulnerabilità per “aggirare il controllo dell’utente sui dati sulla posizione”. Questo è in riferimento a un rapporto della scorsa settimana secondo cui iFood, una delle principali app di consegna di cibo in Brasile, stava “accedendo alla posizione di un utente in iOS 16.2 anche quando l’utente ha negato all’app l’accesso alla posizione”.
Nella sua accusa, il rapporto della scorsa settimana non ha chiarito se iFood stesse sfruttando la suddetta vulnerabilità di Mappe o qualcosa di diverso. Indipendentemente da ciò, Apple afferma che la sua “indagine di follow-up ha concluso che l’app non stava aggirando i controlli degli utenti attraverso alcun meccanismo”.
Di seguito, la dichiarazione completa della società di Cupertino:
In Apple, crediamo fermamente che gli utenti debbano scegliere quando condividere i propri dati e con chi. La scorsa settimana abbiamo emesso un avviso relativo ad una vulnerabilità della privacy che poteva essere sfruttata solo da app senza sandbox su macOS. La base di codice che abbiamo corretto è condivisa da iOS e iPadOS, tvOS e watchOS, quindi la correzione e l’avviso sono stati propagati anche a quei sistemi operativi, nonostante non fossero mai stati a rischio. Il suggerimento che questa vulnerabilità avrebbe potuto consentire alle app di eludere i controlli utente su iPhone è falso.
Un rapporto ha anche suggerito erroneamente che un’app iOS stava sfruttando questa o un’altra vulnerabilità per aggirare il controllo dell’utente sui dati sulla posizione. La nostra indagine di follow-up ha concluso che l’app non stava aggirando i controlli degli utenti attraverso alcun meccanismo.
La vulnerabilità di Apple Maps corretta il mese scorso è stata segnalata alla società da un ricercatore anonimo. Il programma Apple Security Bounty incoraggia i ricercatori di sicurezza a inviare i loro risultati ad Apple. Il programma offre anche ricompense ai ricercatori di sicurezza che aiutano Apple nei suoi sforzi per “proteggere la sicurezza e la privacy degli utenti”.