Apple Plans : une faille aurait permis aux applications d’accéder à la localisation des utilisateurs à leur insu
Les utilisateurs avec un iPhone ou iPad peuvent autoriser ou refuser l’accès à leur localisation, permettant ou interdisant aux applications d’avoir cette donnée. Une faille (corrigée avec iOS 16.3) semble avoir permis à n’importe quelle application d’obtenir l’information, sans pour autant que l’utilisateur donne son accord.
iOS 16.3 vient corriger une faille qui a pour identifiant CVE-2023-23503, mais dont les détails techniques n’ont pas encore été dévoilés. Apple fait seulement savoir que cela concerne Plans, qu’une application pouvait être capable de contourner les préférences de confidentialité et qu’un problème de logique a été résolu grâce à une meilleure gestion des états.
Il semble que la faille en question permettait le suivi de la localisation indépendamment des préférences de l’utilisateur et, selon le blogueur Rodrigo Ghedin, au moins une entreprise a exploité la vulnérabilité. Il s’agit d’iFood, une société brésilienne de livraison de repas. Un utilisateur, qui avait un iPhone sous iOS 16.2, a remarqué que l’application d’iFood était en mesure de connaître sa localisation, alors qu’il n’avait pas donné son accord au niveau d’iOS. Ce n’est plus le cas depuis qu’il a installé iOS 16.3.
Quelques questions peuvent être posées : depuis combien de temps cette vulnérabilité existe-t-elle ? Quelles autres applications l’ont exploitée ? Combien de données de localisation ont été recueillies grâce à elle ?
iFood n’a pas fait de commentaire, tout comme Apple. Mais il est peu probable que le fabricant d’iPhone évoque le sujet parce que les détails techniques de la faille de sécurité ne sont pas encore dévoilés. Le groupe attend certainement que la plupart des utilisateurs aient installé iOS 16.3.