Apple、iOSマップのバグがプライバシー情報流出させたとの報道を完全否定

 
2023年1月24日に公開されたiOS16.3では、新機能追加だけでなく、さまざまなセキュリティアップデートが行われました。
 
そのひとつとして記されていた、マップアプリにおける「Appがプライバシーの環境設定を回避する可能性がある」について、修正前にユーザーのプライバシー流出がなかったのかどうか、米メディア9to5MacがAppleに問い合わせ、得た回答を共有していますのでご紹介します。

Appleマップのバグ問題

AppleがiOS16.3でマップのバグを修正する前に、ブラジルのフードデリバリーアプリiFoodが、ユーザーがアプリの位置情報へのアクセスを拒否した場合でも、ユーザーの位置情報にアクセスしていたことが確認されたと、現地ジャーナリストが伝えました。
 
ただしiFoodによる不正なアクセスが、Appleマップの脆弱性を突いたものなのか、それ以外の方法で行われたものなのかはわかっていません。

ユーザーの位置情報を勝手に取得したとの報道を完全否定

そこで9to5MacがAppleにこの件についてコメントを求めたところ、調査の結果、アプリがマップの脆弱性を突いて、ユーザーの意志を無視して位置データを取得していないことが確認できたとしています。
 
以下がAppleによる9to5Macへの返答の抜粋です。
 

当社は先週、プライバシーの脆弱性に関する報告を行いましたが、これはmacOSのサンドボックス化されていないアプリでのみエクスプロイトされる可能性を修正したものです。修正したコードベースはiOS、iPadOS、tvOS、watchOSとも共有されているため、これらOSではまったく脆弱性による危険性はないものの、報告を掲載しました。したがってiPhoneにおいて、脆弱性によってアプリがユーザーの管理を回避できるという報道は間違いです。
 
報道ではまた、iOSアプリがこの脆弱性またはその他の脆弱性を突いてユーザーの管理を無視、位置情報データにアクセスしたように伝えていますがこれも誤りです。当社のその後の調査により、アプリはどのようなメカニズムによってユーザーの管理を回避できないと結論づけました。

 
つまり「Appがプライバシーの環境設定を回避する可能性がある」というのはあくまでmacOSのマップアプリの問題であり、iOSを含むその他のアプリには無関係であると、Appleは説明しています。

 
 
Source:9to5Mac
(lunatic)