
Un bug dans Plans aurait permis aux applications de collecter des données de localisation sans autorisation
Sur iPhone et iPad, il est possible de permettre ou non à une application d’avoir accès à vos données de localisation. Toutefois, il semble qu’une faille (corrigée par Apple avec iOS 16.3) aurait permis aux applications d’obtenir les informations de localisation sans l’autorisation de l’utilisateur. Selon Apple, la version d’iOS 16.3 (et d’iPadOS 16.3) vient corriger une faille identifiée CVE-2023-23503 qui concerne Plans. Le constructeur indique qu’une application pouvait être capable de contourner les préférences de confidentialité et qu’un problème de logique a été résolu grâce à une meilleure gestion des états. Nous ne savons pas avec certitude, mais il semblerait que le bug a été activement exploité par au moins une application. En effet, le journaliste brésilien Rodrigo Ghedin rapporte qu’iFood, une application de livraison de repas brésilienne de plusieurs milliards de dollars, était en mesure d’accéder à l’emplacement d’un utilisateur avec un iPhone sous iOS 16.2 même lorsqu’il a refusé à…