Apple assure que la faille dans Plans n’a pas permis aux apps de collecter la localisation des utilisateurs à leur insu
L’une des failles corrigées avec iOS 16.3 touche l’application Apple Plans. Il s’était dit que cette faille avait permis aux applications de connaître la localisation des utilisateurs sans que ces derniers ne donnent leur accord au préalable. Mais Apple assure que ce n’est pas le cas.
Voici ce qu’a indiqué Apple concernant cette histoire de localisation :
Chez Apple, nous sommes convaincus que les utilisateurs doivent choisir quand partager leurs données et avec qui. La semaine dernière, nous avons publié un avis concernant une vulnérabilité en matière de confidentialité qui ne pouvait être exploitée qu’à partir d’applications non standardisées sur macOS. La base de code que nous avons corrigée est partagée par iOS, iPadOS, tvOS et watchOS, de sorte que le correctif et l’avis ont été également propagés à ces systèmes d’exploitation, malgré le fait qu’ils n’ont jamais été à risque. La suggestion selon laquelle cette vulnérabilité aurait pu permettre à des applications de contourner les contrôles de l’utilisateur sur l’iPhone est fausse.
Un rapport a également suggéré à tort qu’une application iOS exploitait cette vulnérabilité ou une autre pour contourner le contrôle de l’utilisateur sur les données de localisation. Notre enquête de suivi a conclu que l’application ne contournait les contrôles de l’utilisateur par aucun mécanisme.
Apple fait ici référence à une application de livraison de repas au Brésil qui aurait été en mesure de collecter les données de localisation des utilisateurs, sans obtenir pour autant leur accord. Cela aurait été possible avec iOS 16.2, qui ne disposait pas du correctif pour l’application Plans. Mais Apple assure aujourd’hui que ce n’est pas le cas.