iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 839 Artikel

Datenschutzeinstellung war wirkungslos

iOS 16.3 verhindert nicht genehmigte Standortabfragen

Artikel auf Mastodon teilen.
14 Kommentare 14

Eine mit iOS 16.3 behobene Sicherheitslücke hat offenbar dazu geführt, dass iOS-Anwendungen auch dann auf die aktuelle Position eines Nutzers zugreifen konnte, wenn dies den Datenschutz-Einstellungen für die Ortungsdienste zufolge nicht erlaubt war.

Apple hat die Informationen zum Sicherheitsinhalt von iOS 16.3 bereits in der vergangenen Woche veröffentlicht. Unter anderem findet hier die Schwachstelle CVE-2023-23503 Erwähnung, die es Apple zufolge ermöglicht hat, dass die Privatsphäre-Einstellungen des Nutzers von einer App umgangen werden konnten. Ausführliche Details zu der Schwachstelle stehen bislang nicht zur Verfügung, da der Eintrag in der CVE-Datenbank derzeit noch mit einem Sperrvermerk versehen ist. Dies kann beispielsweise die Ursache haben, dass man auf diese Weise verhindern will, dass die Sicherheitslücke auf Basis dieser ergänzenden Informationen ausgenutzt wird.

Ifood Location Services

Der brasilianische Blogger Manual do Usuário macht damit verbunden allerdings auf den Sachverhalt aufmerksam, dass die App eines der größten brasilianischen Lieferketten-Startups iFood den Standort eines seiner Leser abrufen konnte, obwohl dieser die Möglichkeit zur Standortabfrage für diese Anwendung in seinen iOS-Einstellungen ausdrücklich deaktiviert hatte. Es liegt zumindest nahe, dass dieser Sachverhalt auf der im Zusammenhang mit der Schwachstelle beschriebenen Fehlfunktion gründet.

App weiterhin im Store – Versehentlich ausgenutzt?

Verwundern darf dann allerdings, dass sich die betreffende App auch weiterhin im App Store laden lässt. Eine mögliche Erklärung lässt sich aus einer gegenüber dem Blogger abgegebenen Stellungnahme ableiten, in der davon die Rede ist, dass eine Überprüfung der App keinerlei Hinweise dahingehend ergeben habe, dass entsprechender Code in die App integriert sei.

Wenn sich die Entwickler dessen tatsächlich nicht bewusst sind, stellt sich natürlich die Frage, in welchem Umfang vergleichbare Standortabfragen auch über andere Apps gelaufen sind und ob die Schwachstelle auch gezielt auch auf bösartige Weise ausgenutzt wurde. In jedem Fall kann man festhalten, dass Apple den Fehler mit der aktuellen iOS-Version behoben hat und die Privatsphäre-Einstellungen nun tatsächlich auch so funktionieren sollten, wie gewünscht.

Laden im App Store
‎iFood: pedir delivery em casa
‎iFood: pedir delivery em casa
Entwickler: iFood
Preis: Kostenlos
Laden
02. Feb 2023 um 11:20 Uhr von chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    14 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Naja, der Fehler ist ja in iOS, nicht in der Food App vom Hersteller; wieso sollte sie dann gebannt werden?

    • Weil es darauf ankommt, ob es wirklich nur ein Fehler im Betriebssystem bei der Nutzung der Standard API war, oder ob diese App gezielt etwas anders gemacht hat und nur deshalb von dem Fehler im Betriebssystem profitiert hat

      • Wenn eine App zur Genehmigung eingereicht wird, ist das erste was *automatisiert* geprüft wird, ob irgendeine interne Schnittstelle aufgerufen wird. Es gibt Entwickler, die eine Ausnahmegenehmigung für bestimmte Schnittstellen haben, das sind aber oft nur die großen Player, wie Facebook, Amazon, …

        Von daher würde ich den Fehler nicht beim Entwickler sehen. Und falls doch, dann haben die Prüfer schon extrem gepennt beim Review der App.

  • Einfach nur ein weiteres Indiz dafür, dass es (auch) bei Apple keine wirkliche Sicherheit gibt. Man bleibt eben der Technik weitgehend ausgeliefert und ist selbst verantwortlich.

  • Hm über die Standard Anfragen die wir in unserer App integriert haben, wurde das tatsächlich auch blockiert… Muss wohl eine bestimmte Kombination von Zuständen sein…

  • Offtopic Frage:
    Ich habe das nervige Problem, das im Carplay Modus APPS am Telefon gestartet werden müssen sonst werden sie im Auto Display als Offline angezeigt. Betrifft Spotify, Audible und Google Maps.
    iOs16.3

    Kennt jemand das Problem?

  • Die Überschrift ist schon etwas verwirrend.
    Müsste dort nicht eher „…verhindert nicht nicht-genehmigte…“ oder „…ermöglicht nicht genehmigte…“ stehen?

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38839 Artikel in den vergangenen 6322 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven