Youtube Facebook-f Linkedin-in Instagram
CONTACTAME
Ciberseguridad Technology
_ _ yuli_ 0 Comments

Error en Apple Maps podría permitir recopilar tus datos de ubicación.

Error en Apple Maps podría permitir recopilar tus datos de ubicación.

Un error de privacidad de Apple Maps corregido en iOS 16.3 puede haber permitido que las aplicaciones recopilen datos de ubicación del usuario sin permiso.

Al menos una aplicación parece haberlo hecho, y un reportero de seguridad ha especulado que el mismo error de privacidad podría haber sido explotado por innumerables aplicaciones durante un período de tiempo desconocido…

iOS 16.3

iOS 16.3 estuvo disponible públicamente la semana pasada , después de un mes en versión beta. La característica principal fue la compatibilidad con claves de seguridad físicas como parte del proceso de inicio de sesión de autenticación de dos factores en nuevos dispositivos.

Otras características destacadas en las notas de la versión fueron:

  • El nuevo fondo de pantalla de Unity rinde homenaje a la historia y la cultura negras en celebración del Mes de la Historia Negra
  • Compatibilidad con HomePod (2.ª generación)
  • Las llamadas de emergencia SOS ahora requieren mantener presionado el botón lateral con el botón para subir o bajar el volumen y luego soltarlo para evitar llamadas de emergencia inadvertidas.

Además de la mención de varias correcciones de errores. Echa un vistazo a nuestro vídeo de resumen de todas las funciones nuevas.

Error de privacidad de Apple Maps

Las notas de lanzamiento de iOS de Apple no enumeran todas las correcciones de errores; en cambio, los relacionados con la seguridad se tratan principalmente en un documento separado . Apple enumera 12 parches de seguridad diferentes, incluido uno para un error de privacidad de Apple Maps:

Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores

Impacto: una aplicación podría pasar por alto las preferencias de privacidad

Descripción: Se solucionó un problema de lógica mejorando la administración del estado.

CVE-2023-23503: un investigador anónimo

Parece haber sido explotado activamente

No lo sabemos con certeza, pero ciertamente parece que el error ha sido explotado activamente por al menos una aplicación. El periodista brasileño Rodrigo Ghedin informa que se descubrió que iFood, una aplicación de entrega de alimentos brasileña multimillonaria, estaba accediendo a la ubicación de un usuario en iOS 16.2 incluso cuando el usuario le negó a la aplicación todo acceso a la ubicación.

Un lector de  Manual do Usuário  (mi blog escrito en portugués) notó la falla/error mientras usaba iOS 16.2.

iFood, la aplicación de entrega de alimentos más grande de Brasil evaluada en USD 5400 millones, accedía a su ubicación cuando no estaba abierta o en uso, omitiendo una configuración de iOS que restringe el acceso de una aplicación a ciertas funciones del teléfono. Incluso cuando el lector negó por completo el acceso a la ubicación, la aplicación de iFood continuó accediendo a la ubicación de su teléfono.

Es solo una especulación que esto explotó el error en cuestión, pero al menos es una explicación muy plausible. Lo que hizo la aplicación iFood no debería haber sido posible, mientras que el error que describe Apple aparentemente lo habría hecho posible.

Las preguntas planteadas por el escritor de seguridad de Arstechnica , Dan Goodin , son: ¿Cuánto tiempo ha existido esta vulnerabilidad? ¿Qué otras aplicaciones lo han explotado? ¿Cuántos datos de ubicación se recopilaron usándolo?

Es posible que se hayan recopilado cantidades masivas de datos de ubicación sin que los usuarios sospecharan nada. Le pediría detalles a Apple, pero la compañía nunca respondería.

Otro usuario en el hilo especuló que el error puede estar relacionado con cuando un usuario otorgó acceso a la ubicación a una aplicación y posteriormente lo revocó o lo limitó (por ejemplo, de “‘En cualquier momento” a “‘Solo cuando se usa”) – con iOS fallando para actualizar correctamente la lista de aplicaciones que pueden acceder a los datos de ubicación.

Es poco probable que Apple haga comentarios, ya que el error actualmente figura como “reservado”, lo que significa que los detalles no se publicarán hasta más adelante, probablemente cuando la mayoría de los usuarios de iOS hayan actualizado a iOS 16.3 (o una versión parcheada de una versión anterior).

6

Author

yuli

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tu socio de confianza en ciberseguridad
Conócenos
Contacto

info@imagenti.mx

Siguenos en:
Linkedin Facebook Instagram Youtube Twitter
Conoce más sobre WithSecure