Alcune settimane fa è emerso un rapporto in cui si parlava di un bug dell’app di Apple che, tra i vari problemi, condivideva la posizione degli utenti senza il loro consenso.
Apple ha recentemente smentito questa dichiarazione con un comunicato stampa, inoltre pare che con l’aggiornamento di iOS 16.3 il bug sia stato rimosso: ma sarà davvero così?
La privacy degli utenti Apple è a rischio?
Parlando con 9to5Mac, Apple ha dichiarato che per l’azienda è fondamentale che gli utenti possano scegliere quando condividere i propri dati e con chi, rassicurando i possessori di iPhone che questa vulnerabilità della privacy “poteva essere sfruttata solo da app non standardizzate su macOS”, il che significa che questo bug non ha permesso alle app iOS di “aggirare i controlli dell’utente”. Per quanto riguarda invece le applicazioni appartenenti ad altri sistemi come Android? Qui la situazione è diversa e decisamente più grigia, ma ne riparliamo nei prossimi paragrafi.
“La scorsa settimana abbiamo pubblicato un avviso per una vulnerabilità della privacy che poteva essere sfruttata solo da app non standardizzate su macOS. La base di codice che abbiamo corretto è condivisa da iOS e iPadOS, tvOS e watchOS, quindi la correzione e l’avviso sono stati diffusi anche a questi sistemi operativi, nonostante non siano mai stati a rischio. L’affermazione che questa vulnerabilità avrebbe potuto consentire alle app di aggirare i controlli dell’utente su iPhone è falsa.”
Il caso di iFood da cui è partito tutto
Apple ha inoltre aggiunto che il rapporto secondo cui questo bug di Apple Maps condivideva la posizione dei clienti non era corretto, in quanto la sua indagine personale “ha concluso che l’app non aggirava il controllo degli utenti attraverso alcun meccanismo“. I rapporti di Apple hanno “anche suggerito erroneamente che un’app iOS stesse sfruttando questa o un’altra vulnerabilità per aggirare il controllo dell’utente sui dati di localizzazione. Le nostre indagini successive hanno concluso che l’app non aggirava i controlli dell’utente attraverso alcun meccanismo”.
Il caso del bug è scoppiato all’inizio di Febbraio, quando il giornalista brasiliano Rodrigo Ghedin ha riferito che iFood, una delle più grandi startup brasiliane che fornisce un servizio simile a Just Eat, “sbirciava la posizione degli utenti iOS quando non doveva”. iFood, la più grande app brasiliana per la consegna di pasti valutata 5,4 miliardi di dollari, accedeva alla posizione dell’utente aggirando un’impostazione di iOS che invece dovrebbe vietare l’accesso a determinate funzioni dell’iPhone. Anche quando il lettore negava del tutto l’accesso alla posizione, pare che i dipendenti del Just Eat brasiliano, utilizzando l’app di iFood, continuavano ad accedere alla posizione dell’utente.
La segnalazione del giornalista brasiliano è arrivata dopo che Apple ha lanciato iOS 16.3,aggiornamento che ha risolto il bug di Apple Maps che permetteva “di aggirare le preferenze sulla privacy”. Con un iPhone aggiornato a iOS 16.2, l’app iFood non dovrebbe essere più in grado di rilevare la posizione dei clienti, ma nonostante ciò pare che iFood possa ancora riuscirci. Detto questo Apple continua ad affermare che questo problema non sia causato dal bug di Mappe, anche se il giornalista è riuscito a di nuovo a confermare il problema.
Considerate le dichiarazioni di Apple è probabile che a riuscire a superare le difese di iOs sia un app di terze parti e non appartenente all’ecosistema, di conseguenza al momento c’è poco che possiamo fare per far fronte al problema: la soluzione migliore è mantenere il dispositivo sempre aggiornato, sperando che questa anomalia non venga sfruttate a scopi criminali o in generale poco nobili.
Privacy e localizzazione: perché rimangono i dubbi
Una paura emersa anche dalle domande sollevate da Dan Goodin di Arstechnica: Da quanto tempo esiste questa vulnerabilità? Quali altre app l’hanno sfruttata? Quanti dati di localizzazione sono stati raccolti grazie ad essa? “È possibile che siano state raccolte enormi quantità di dati di localizzazione senza che gli utenti se ne accorgessero. Chiederei ad Apple i dettagli, ma l’azienda non risponderebbe mai.”
Un altro utente ha ipotizzato che il bug possa essere legato agli utenti che hanno concesso l’accesso alla posizione a un’app e successivamente l’hanno revocato o limitato, ad esempio da “‘Sempre” a “‘Solo quando si usa”. L’ipotesi è che iOS che non ha aggiornato correttamente l’elenco delle app in grado di accedere ai dati sulla posizione, permettendo ancora alle app di localizzarci. Secondo Goodin è improbabile che Apple commenti, poiché il bug è attualmente classificato come “riservato”, il che significa che i dettagli non sono ancora stati pubblicati, cosa che avverrà probabilmente quando la maggior parte degli utenti iOS avrà effettuato l’aggiornamento a una versione patchata di iOS 16.3.
iOS 16.3 è stato reso disponibile al pubblico durante gli ultimi giorni di Gennaio e la caratteristica principale dell’aggiornamento è il supporto per le chiavi di sicurezza fisiche come parte del processo di autenticazione a due fattori sui nuovi dispositivi. Oltre alla correzione di vari bug, le altre caratteristiche evidenziate nelle note di rilascio sono il supporto agli HomePod di seconda generazione e una modifica che riguarda le chiamate di emergenza SOS: ora richiedono di tenere premuto il pulsante laterale con il tasto del volume su o giù e poi di rilasciarlo per evitare chiamate di emergenza involontarie.