Un bug de confidentialité d’Apple Maps corrigé dans iOS 16.3 aurait pu permettre à des applications de collecter les données de localisation des utilisateurs sans autorisation.

Au moins une application semble l’avoir fait et un journaliste en sécurité a spéculé que le même bogue de confidentialité aurait pu être exploité par un nombre incalculable d’applications sur une période de temps inconnue.

iOS 16.3 est devenu publiquement disponible la semaine dernière, après un mois en bêta. La principale fonctionnalité était le support des clés de sécurité physiques dans le cadre du processus d’authentification à deux facteurs sur les nouveaux appareils.

Les autres fonctionnalités mises en évidence dans les notes de version étaient :

Nouveau fond d’écran Unity qui honore l’histoire et la culture noire à l’occasion du Mois de l’histoire noire Support pour HomePod (2ème génération) Les appels d’urgence SOS nécessitent maintenant de tenir le bouton latéral avec le bouton de volume haut ou bas, puis de le relâcher pour éviter les appels d’urgence involontaires Ainsi que mention de plusieurs corrections de bogues. Consultez notre vidéo détaillée de toutes les nouvelles fonctionnalités.

Bug de confidentialité d’Apple Maps

Les notes de version iOS d’Apple ne listent pas toutes les corrections de bogues ; au lieu de cela, les corrections de bogues liées à la sécurité sont principalement couvertes dans un document séparé. Apple liste 12 correctifs de sécurité différents, y compris un pour un bogue de confidentialité d’Apple Maps :

Disponible pour : iPhone 8 et supérieur, iPad Pro (tous les modèles), iPad Air 3ème génération et supérieur, iPad 5ème génération et supérieur, et iPad mini 5ème génération et supérieur

Nous ne le savons pas avec certitude, mais il semble que le bogue ait été activement exploité par au moins une application. Le journaliste brésilien Rodrigo Ghedin rapporte qu’iFood, une application de livraison de nourriture brésilienne évaluée à plusieurs milliards de dollars, a été trouvée en train d’accéder à la localisation d’un utilisateur sous iOS 16.2 même lorsque l’utilisateur a refusé à l’application tout accès à la localisation.

iFood, la plus grande application de livraison de nourriture brésilienne évaluée à 5,4 milliards de dollars, était en train d’accéder à la localisation de l’utilisateur, même lorsqu’elle n’était pas ouverte ou en cours d’utilisation. Cela contourne les paramètres d’iOS qui restreignent l’accès d’une application à certaines fonctionnalités du téléphone. Même lorsque l’utilisateur a complètement refusé l’accès à la localisation, l’application iFood a continué à accéder à la localisation du téléphone.

C’est seulement une spéculation que cela ait exploité le bug en question, mais c’est au moins une explication très plausible. Ce que l’application iFood a fait ne devrait pas être possible, tandis que le bug décrit par Apple semblerait le rendre possible.

Les questions soulevées par le journaliste en sécurité informatique Dan Goodin sont les suivantes: depuis combien de temps existe-t-il cette vulnérabilité? Quelles autres applications l’ont exploitée? Combien de données de localisation ont été collectées avec?

Il se peut qu’une quantité massive de données de localisation ait été collectée sans que les utilisateurs ne soupçonnent rien. Je demanderais à Apple pour plus de détails, mais l’entreprise ne répondrait jamais.

Un autre utilisateur dans le fil de discussion a spéculé que le bug pourrait être lié au moment où un utilisateur a accordé l’accès à la localisation à une application et l’a par la suite révoqué ou limité (par exemple, de « n’importe quand » à « uniquement lors de l’utilisation ») – avec iOS échouant à mettre à jour correctement la liste des applications pouvant accéder aux données de localisation.

Apple ne commentera probablement pas sur ce bug, car il est actuellement considéré comme « réservé », ce qui signifie que les détails ne seront pas publiés jusqu’à une date ultérieure, probablement lorsque la plupart des utilisateurs d’iOS auront mis à niveau vers iOS 16.3 (ou une version corrigée d’une version antérieure).

Il est possible qu’une grande quantité de données de localisation ait été collectée sans que les utilisateurs ne se doutent de rien. Nous pourrions demander à Apple pour plus de détails, mais l’entreprise ne répondrait probablement pas.

Il n’est pas possible aujourd’hui de savoir si les utilisateurs français ont été touché, mais si vous avez reproduit le schéma décrit dans l’article, il est probable, qu’en révoquant vos autorisations de localisation, ces dernières n’aient pas été pris en compte…. immédiatement.