iOS 16.3は先月一般公開され、新機能に加え、様々なセキュリティアップデートも含まれています。これらの修正の一つは、アプリが「プライバシー設定をバイパス」できる可能性があったAppleマップのプライバシーバグを修正したものです。

Appleは金曜日、 9to5Macへの声明で、この脆弱性によってiPhoneユーザーが「危険にさらされたことは一度もない」と明言した。また、ブラジルのフードデリバリーアプリがiOS 16.2でユーザーの位置情報を無断で取得していたという報道を否定した。

iPhoneのサイドローディングの欠如がMacのプライバシーバグから救った

Appleは、先週修正されたマップの脆弱性は「macOS上のサンドボックス化されていないアプリからのみ悪用される可能性がある」と述べています。この修正が先週のAppleのすべてのソフトウェアアップデートに含まれていたのは、そのコードベースがiOS、iPadOS、tvOS、watchOSでも共有されているためです。

Appleは声明の中で、「この脆弱性によりアプリがiPhoneのユーザーコントロールを回避できる可能性があるという指摘は誤りである」と述べている。

この説明を踏まえ、Appleは、iPhoneアプリが脆弱性を悪用して「ユーザーの位置情報制御をバイパス」していたという報道にも反論している。これは、ブラジルの大手フードデリバリーアプリの一つであるiFoodが「ユーザーがアプリへの位置情報アクセスを一切拒否しているにもかかわらず、iOS 16.2でユーザーの位置情報にアクセスしていた」という先週の報道に言及している。

先週の報告書では、iFoodが前述のAppleマップの脆弱性（これもmacOSでのみ悪用可能だった）を悪用していたのか、それとも別の何かなのかは明確にされていませんでした。いずれにせよ、Appleは「その後の調査で、このアプリはいかなるメカニズムによってもユーザーコントロールを回避していなかったという結論に至りました」と述べています。

Apple の9to5Macに対する完全な声明は以下のとおりです。

Appleは、ユーザーがいつ、誰とデータを共有するかを選択できるべきだと強く信じています。先週、macOSのサンドボックス化されていないアプリからのみ悪用される可能性のあるプライバシー脆弱性に関するアドバイザリを公開しました。修正したコードベースはiOS、iPadOS、tvOS、watchOSで共有されているため、これらのOSは実際にはリスクにさらされていなかったにもかかわらず、修正とアドバイザリはこれらのOSにも適用されました。この脆弱性によってアプリがiPhoneのユーザーコントロールを回避できたという主張は誤りです。

ある報告では、iOSアプリがこの脆弱性、あるいは別の脆弱性を悪用して、位置情報データに関するユーザー制御を回避しているという誤った示唆もありました。その後の調査では、当該アプリはいかなるメカニズムによってもユーザー制御を回避していないことが判明しました。

先月修正されたAppleマップの脆弱性は、匿名の研究者によってAppleに報告されました。Apple Security Bountyプログラムは、セキュリティ研究者にAppleへの発見報告を奨励しています。このプログラムは、Appleの「ユーザーのセキュリティとプライバシーの保護」の取り組みに協力したセキュリティ研究者に報奨金を提供しています。

havebin.com を Google ニュース フィードに追加します。