Sur iPhone et iPad, il est possible de permettre ou non à une application d’avoir accès à vos données de localisation. Toutefois, il semble qu’une faille (corrigée par Apple avec iOS 16.3) aurait permis aux applications d’obtenir les informations de localisation sans l’autorisation de l’utilisateur.
Selon Apple, la version d’iOS 16.3 (et d’iPadOS 16.3) vient corriger une faille identifiée CVE-2023-23503 qui concerne Plans. Le constructeur indique qu’une application pouvait être capable de contourner les préférences de confidentialité et qu’un problème de logique a été résolu grâce à une meilleure gestion des états.
Nous ne savons pas avec certitude, mais il semblerait que le bug a été activement exploité par au moins une application. En effet, le journaliste brésilien Rodrigo Ghedin rapporte qu’iFood, une application de livraison de repas brésilienne de plusieurs milliards de dollars, était en mesure d’accéder à l’emplacement d’un utilisateur avec un iPhone sous iOS 16.2 même lorsqu’il a refusé à l’application tout accès à l’emplacement.
Les questions soulevées par le rédacteur en sécurité d’Arstechnica, Dan Goodin, sont : depuis combien de temps cette vulnérabilité existe-t-elle ? Quelles autres applications l’ont exploitée ? Combien de données de localisation ont été recueillies à l’aide de celle-ci ? « Il se peut que des quantités massives de données de localisation aient été collectées sans que les utilisateurs ne se doutent de quoi que ce soit. Je demanderais des détails à Apple, mais la société ne répondrait jamais », a-t-il déclaré.
iFood n’a pas fait de commentaire à ce sujet. Et il est peu probable qu’Apple commente, car le bug est actuellement répertorié comme « réservé », ce qui signifie que les détails ne seront publiés que plus tard, probablement lorsque la plupart des utilisateurs d’iOS auront mis à niveau vers iOS 16.3.
Article connexe : iOS 16.3 : Apple corrige le bug de CarPlay avec Siri et la fonction Localiser
