Datenschutzeinstellung war wirkungslos
iOS 16.3 verhindert nicht genehmigte Standortabfragen
Eine mit iOS 16.3 behobene Sicherheitslücke hat offenbar dazu geführt, dass iOS-Anwendungen auch dann auf die aktuelle Position eines Nutzers zugreifen konnte, wenn dies den Datenschutz-Einstellungen für die Ortungsdienste zufolge nicht erlaubt war.
Apple hat die Informationen zum Sicherheitsinhalt von iOS 16.3 bereits in der vergangenen Woche veröffentlicht. Unter anderem findet hier die Schwachstelle CVE-2023-23503 Erwähnung, die es Apple zufolge ermöglicht hat, dass die Privatsphäre-Einstellungen des Nutzers von einer App umgangen werden konnten. Ausführliche Details zu der Schwachstelle stehen bislang nicht zur Verfügung, da der Eintrag in der CVE-Datenbank derzeit noch mit einem Sperrvermerk versehen ist. Dies kann beispielsweise die Ursache haben, dass man auf diese Weise verhindern will, dass die Sicherheitslücke auf Basis dieser ergänzenden Informationen ausgenutzt wird.
Der brasilianische Blogger Manual do Usuário macht damit verbunden allerdings auf den Sachverhalt aufmerksam, dass die App eines der größten brasilianischen Lieferketten-Startups iFood den Standort eines seiner Leser abrufen konnte, obwohl dieser die Möglichkeit zur Standortabfrage für diese Anwendung in seinen iOS-Einstellungen ausdrücklich deaktiviert hatte. Es liegt zumindest nahe, dass dieser Sachverhalt auf der im Zusammenhang mit der Schwachstelle beschriebenen Fehlfunktion gründet.
App weiterhin im Store – Versehentlich ausgenutzt?
Verwundern darf dann allerdings, dass sich die betreffende App auch weiterhin im App Store laden lässt. Eine mögliche Erklärung lässt sich aus einer gegenüber dem Blogger abgegebenen Stellungnahme ableiten, in der davon die Rede ist, dass eine Überprüfung der App keinerlei Hinweise dahingehend ergeben habe, dass entsprechender Code in die App integriert sei.
Wenn sich die Entwickler dessen tatsächlich nicht bewusst sind, stellt sich natürlich die Frage, in welchem Umfang vergleichbare Standortabfragen auch über andere Apps gelaufen sind und ob die Schwachstelle auch gezielt auch auf bösartige Weise ausgenutzt wurde. In jedem Fall kann man festhalten, dass Apple den Fehler mit der aktuellen iOS-Version behoben hat und die Privatsphäre-Einstellungen nun tatsächlich auch so funktionieren sollten, wie gewünscht.
Naja, der Fehler ist ja in iOS, nicht in der Food App vom Hersteller; wieso sollte sie dann gebannt werden?
Weil es darauf ankommt, ob es wirklich nur ein Fehler im Betriebssystem bei der Nutzung der Standard API war, oder ob diese App gezielt etwas anders gemacht hat und nur deshalb von dem Fehler im Betriebssystem profitiert hat
Wenn eine App zur Genehmigung eingereicht wird, ist das erste was *automatisiert* geprüft wird, ob irgendeine interne Schnittstelle aufgerufen wird. Es gibt Entwickler, die eine Ausnahmegenehmigung für bestimmte Schnittstellen haben, das sind aber oft nur die großen Player, wie Facebook, Amazon, …
Von daher würde ich den Fehler nicht beim Entwickler sehen. Und falls doch, dann haben die Prüfer schon extrem gepennt beim Review der App.
Einfach nur ein weiteres Indiz dafür, dass es (auch) bei Apple keine wirkliche Sicherheit gibt. Man bleibt eben der Technik weitgehend ausgeliefert und ist selbst verantwortlich.
Nein. Es ist nur ein Beleg dafür, dass keine Software fehlerfrei ist.
Naja, die von Apple hat doch seid 4 Jahren jedes Jahr immer die gleichen Fehler …
seit wird auch schon länger falsch geschrieben.
Wieso „Nein“. Beides schließt sich doch nicht aus.
Hm über die Standard Anfragen die wir in unserer App integriert haben, wurde das tatsächlich auch blockiert… Muss wohl eine bestimmte Kombination von Zuständen sein…
Offtopic Frage:
Ich habe das nervige Problem, das im Carplay Modus APPS am Telefon gestartet werden müssen sonst werden sie im Auto Display als Offline angezeigt. Betrifft Spotify, Audible und Google Maps.
iOs16.3
Kennt jemand das Problem?
Konnte das weder mit 16.2 noch 16.3 nachvollziehen. Aber dazu müsste man auch Daten zu Fahrzeug etc haben.
Besonders relevant ist dabei die Farbe des Fahrzeugs.
Und Speichergröße …
Die Überschrift ist schon etwas verwirrend.
Müsste dort nicht eher „…verhindert nicht nicht-genehmigte…“ oder „…ermöglicht nicht genehmigte…“ stehen?