Apple réfute l'idée qu'un bug d'iOS ait pu permettre de pister les utilisateurs sans leur consentement
Si Apple vante régulièrement la protection de la vie privée de ses clients dans sa communication, le journal des modifications d’iOS 16.3 avait de quoi faire lever les sourcils. Cupertino y évoque un bug lié à Plans permettant à une app de « contourner les préférences de confidentialité » de l'utilisateur, autrement dit de potentiellement récolter ses données de localisation même s'il a explicitement refusé de les partager. Dans la foulée, une app avait été accusée de tirer parti du bug pour amasser des informations sur ses clients. Apple vient de confirmer que ce n'était pas le cas et que les utilisateurs d'iPhone n'avaient jamais été exposés au moindre risque.
Un journaliste brésilien avait notamment affirmé que l'app de livraison de nourriture iFood accédait à l'emplacement de certains utilisateurs lorsque le programme n'était pas ouvert et que le suivi de la localisation avait été décoché. « Même lorsque l'utilisateur a complètement refusé l'accès à la localisation, l'application iFood a continué à accéder à la localisation de son téléphone », écrivait-il dans un billet de blog, capture d'écran d'iOS 16.2 à l'appui. L'entreprise iFood avait alors réfuté l'accusation en répondant qu'aucun morceau de code un peu trop curieux n'avait été identifié.
Apple en remet aujourd'hui une couche dans un communiqué envoyé au site 9to5Mac. L'entreprise affirme que la faille ne pouvait être exploitée « qu'à partir d'applications n'étant pas dans la sandbox sur macOS ». Elle précise que le correctif a été publié sur iOS, iPadOS, tvOS et watchOS étant donné que le bout de code retouché est commun aux quatre systèmes, même si certains n'ont jamais été en danger.
« L'idée selon laquelle cette vulnérabilité aurait pu permettre aux applications de contourner les préférences de l'utilisateur sur l'iPhone est fausse », explique Cupertino. Elle termine sa déclaration en spécifiant avoir enquêté sur une app iOS qui aurait pu recourir à cette faille (que l'on imagine être iFood), et conclu que « l'application ne contournait les contrôles de l'utilisateur par aucun mécanisme ».
L'entreprise affirme que la faille ne pouvait être exploitée « qu'à partir d'applications n'étant pas dans la sandbox sur macOS ».
Concrètement ça veut dire quoi ?
@QuentinRth
J’ai buté dessus aussi..
@QuentinRth
Je suis curieuse aussi !
@QuentinRth
doit pas yen avoir tant que cela
@QuentinRth
Ça veut dire que le bug était exploitable sur macOS, mais pas sur iOS et dérives.
Exploitable à condition de ne pas fonctionner en sandbox, ce qui est alors possible sur macOS exclusivement.
Uniquement exploitable sur MacOS. Ça doit être pour cette raison qu'Apple a corrigé tous ses OS sauf celui-ci...
"Elle précise que le correctif a été publié sur iOS, iPadOS, tvOS et watchOS étant donné que le bout de code retouché est commun aux quatre systèmes, même si certains n'ont jamais été en danger."
@r e m y
Ah oui 🤔
Je suppose que ça veut dire commun aux quatre systèmes et à macOS, et que ça a été corrigé aussi, sinon je ne vois pas l’intérêt de l’évoquer effectivement.
@r e m y
Tiens voilà la phrase du communiqué :
The fix was included in all of Apple’s software updates last week simply because that codebase is shared by iOS and iPadOS, tvOS, and watchOS as well.
Je confirme donc bien qu’il faut comprendre « as well as macOS ».
Exact.
"The codebase that we fixed is shared by iOS and iPadOS, tvOS, and watchOS, so the fix and advisory was propagated to those operating systems as well, despite the fact that they were never at risk."
Donc le correctif (sur MacOS) a été diffusé également aux systèmes iOS, iPadOS, tvOS et WatchOS qui partagent cette portion de code.
@r e m y
> Exact
La moindre des correction de votre part serait donc de revenir sur votre sous-entendu précédent : « Ça doit être pour cette raison qu'Apple a corrigé tous ses OS sauf celui-ci... »
Avec Phiphi on a déjà corrigé l'article dont la traduction depuis celui de 9To5Mac était incorrect, c'est peut-être suffisant, non?
L'incohérence de l'article susbsistant, je ne vois pas pourquoi mon 1er commentaire devrait être modifié.
… de réfuté ? Mais est-ce que j’ai une 🫣 de réfuté quand, je suis obligé de passer par :
« Siri : désactive WiFi » 🤫
Parce que :
de passer par le « centre de contrôle » 🤥
Ne désactive pas “complètement” le WiFi 🤭
@fleeBubl
Rien à voir. Apple propose deux étapes : une première pour stopper la connexion aux réseaux wifi en laissant le wifi actif pour bénéficier de toutes les fonctions de liaisons qui l’exploitent (AirDrop, etc). Tu peux toujours aller dans les réglages wifi et le couper complètement… ce fonctionnement est connu et pour moi bien pratique. Il permet de me sortir du wifi sans perdre de fonctions
@amg_fr_it
C’est juste. Effectivement ça n’a rien à voir 🥴
… bien, qu’(on pourrait en redire peut-être 🤔 sur la confidentialité, quand on se balade et qu’on référence « LE grand réseau WiFi » pour accroître le positionnement GPS… si c’est bien encore le cas, bien sûr 🙄 ou que bla-bla-bla 😵💫)
Note : passer par le centre de contrôle, me semblait plus rapide et simple, quitte à laisser appuyer plus fort pour avoir le switch de désactivation total, ou partiel (qui est bien pratique pour partager sa connexion av un autre appareil)
"Si vous ou l'un de vos clients était impacté ou piraté, Apple nierait avoir eu connaissance de ces failles. Bonne chance, Tim."
@lmouillart
Si ce générique avait été ne fusse que piraté, ça resterait un très bel hommage 🤭