iOS 16.3 で修正された Apple マップのプライバシー バグにより、アプリがユーザーの位置情報を許可なく収集できる可能性があった。

少なくとも 1 つのアプリがそうしたようで、セキュリティ レポーターは、同じプライバシー バグが、不明な期間にわたって無数のアプリによって悪用された可能性があると推測しています...

iOS 16.3

iOS 16.3は、1ヶ月間のベータ版公開を経て、先週一般公開されました。目玉機能は、新デバイスの2要素認証サインインプロセスにおいて、物理セキュリティキーのサポートです。

リリースノートで強調されているその他の機能は次のとおりです。

• 黒人歴史月間を記念して、黒人の歴史と文化を称える新しいUnityの壁紙
• HomePod（第2世代）のサポート
• 緊急SOS通話では、誤って緊急通話を発信することを防ぐために、サイドボタンと音量アップ/ダウンボタンを同時に押して放す必要があります。

いくつかのバグ修正についても触れています。新機能の全容を説明したビデオをご覧ください。

AppleのiOSリリースノートには、すべてのバグ修正が記載されているわけではありません。セキュリティ関連のバグは、主に別の文書で説明されています。Appleは12種類のセキュリティパッチをリストアップしており、その中にはApple Mapsのプライバシーバグ修正も含まれています。

対象機種: iPhone 8以降、iPad Pro(全モデル)、iPad Air(第3世代)以降、iPad(第5世代)以降、iPad mini(第5世代)以降

影響: アプリがプライバシー設定を回避できる可能性がある

説明: 状態管理を改善することでロジックの問題が解決されました。

CVE-2023-23503: 匿名の研究者

積極的に悪用されたようだ

確かなことは分かりませんが、少なくとも1つのアプリがこのバグを積極的に悪用しているようです。ブラジルのジャーナリスト、ロドリゴ・ゲディン氏によると、数十億ドル規模のブラジルの食品配達アプリ「iFood」は、ユーザーがアプリによる位置情報へのアクセスを一切拒否しているにもかかわらず、iOS 16.2でユーザーの位置情報にアクセスしていたことが判明しました。

Manual do Usuário (私のポルトガル語で書かれたブログ)の読者が、   iOS 16.2 の使用中に不具合/バグに気づきました。

ブラジル最大のフードデリバリーアプリであるiFood（評価額54億ドル）は、開いていない時や使用していない時に、アプリが特定のスマートフォン機能へのアクセスを制限するiOS設定を回避して、ユーザーの位置情報にアクセスしていました。リーダーが位置情報へのアクセスを完全に拒否したにもかかわらず、iFoodのアプリは引き続きユーザーのスマートフォンの位置情報にアクセスしていました。

問題のバグを悪用したという推測に過ぎませんが、少なくとも非常に説得力のある説明です。iFoodアプリが行ったようなことは本来あり得ないはずでしたが、Appleが説明しているバグによってそれが可能になったように思われます。

Arstechnicaのセキュリティライター、ダン・グッドイン氏が提起した疑問は、この脆弱性はいつから存在していたのか？他にどのようなアプリがこの脆弱性を悪用したのか？この脆弱性を利用してどれだけの位置データが収集されたのか？

ユーザーが何も疑うことなく、膨大な位置情報データが収集されていた可能性があります。Appleに詳細を問い合わせましたが、回答は得られませんでした。

スレッドの別のユーザーは、このバグは、ユーザーがアプリに位置情報へのアクセスを許可し、その後それを取り消したり制限したり（たとえば、「いつでも」から「使用時のみ」など）したときに、iOS が位置情報にアクセスできるアプリのリストを適切に更新できなかったことに関係しているのではないかと推測しました。

このバグは現在「予約済み」とされているため、Apple がコメントする可能性は低い。つまり、詳細は後日、おそらくほとんどの iOS ユーザーが iOS 16.3 (または以前のリリースの修正版) にアップグレードするまで公開されないということだ。

写真：タマス・トゥゼス＝カタイ/アンスプラッシュ

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。