Apple Maps : ce bug permet aux applis d’obtenir votre localisation sans autorisation !

En publiant iOS 16.3 la semaine dernière, Apple en a évidemment profité pour corriger certaines failles de sécurité et bugs. Et justement, nous venons d'apprendre qu'une vulnérabilité permettait à des applications de contourner les paramètres de confidentialité Apple Maps afin d'obtenir la localisation de l'utilisateur sans permission.

Lors de la publication de chaque version d'iOS, Apple intègre bien entendu des fonctionnalités inédites, mais en profite également pour corriger des bugs et des failles de sécurité découvertes par le constructeur ou bien par des chercheurs en sécurité informatique/utilisateurs.

En janvier 2023, Apple a par exemple publié une nouvelle version d'iOS 12 sur d'anciens appareils comme l'iPhone 5 pour corriger une faille de sécurité dans le moteur de rendu de Safari. Elle permettait notamment à un site web d'exécuter du code malveillant à distance.

Comme vous le savez peut-être, la marque à la pomme a déployé iOS 16.3 la semaine dernière sur les appareils compatibles. Avec cette mise à jour, le constructeur a intégré plusieurs nouveautés comme le chiffrement de bout en bout pour les données iCloud, la compatibilité avec les clés de sécurité FIDO sans oublier des améliorations habituelles des performances.

A lire également : Apple Music ne sait plus enchaîner les morceaux sans coupure depuis iOS 16.2

Une faille dans iOS permettait de contourner la sécurité d'Apple Maps

Mais ce n'est pas tout puisqu'Apple a également corrigé quelques bugs et des failles de sécurité. Et justement, nous venons d'apprendre qu'une vulnérabilité permettait justement à des applications de contourner les paramètres de confidentialité d'Apple Maps. Et ce, dans le but d'obtenir constamment la localisation de l'utilisateur sans autorisation.

Voici ce qu'on peut lire dans le rapport du constructeur sur cette faille CVE-2023-23503 :

• Appareils concernés : iPhone 8 et ultérieur, iPad Pro, iPad Air 3e génération et ultérieur, iPad 5e génération et ultérieur, iPad Mini 5e génération et ultérieur
• Impact : Une application peut être en mesure de contourner les préférences de confidentialité d'Apple Maps

Même si Apple ne le précise pas, le journaliste brésilien Rodrigo Ghedin affirme que cette faille a été exploitée au moins une fois par une application. En effet, l'un de ses lecteurs a constaté que iFood, l'appli numéro 1 de livraison de nourritures du pays, accédait en permanence à sa localisation sur iOS 16.2 (et ce malgré les restrictions qu'il avait mises en place). Si cette vulnérabilité est désormais corrigée, des questions subsistent : combien d'applications ont pu profiter de cette faille ? Depuis quand existe-t-elle ? Quelle est la quantité de données de localisation collectée ? Il faudra attendre un éventuel commentaire d'Apple pour le savoir.

Source : 9To5Mac