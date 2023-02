Eine mit iOS 16.3 behobene Sicherheitslücke hat offenbar dazu geführt, dass iOS-Anwendungen auch dann auf die aktuelle Position eines Nutzers zugreifen konnte, wenn dies den Datenschutz-Einstellungen für die Ortungsdienste zufolge nicht erlaubt war.

Apple hat die Informationen zum Sicherheitsinhalt von iOS 16.3 bereits in der vergangenen Woche veröffentlicht. Unter anderem findet hier die Schwachstelle CVE-2023-23503 Erwähnung, die es Apple zufolge ermöglicht hat, dass die Privatsphäre-Einstellungen des Nutzers von einer App umgangen werden konnten. Ausführliche Details zu der Schwachstelle stehen bislang nicht zur Verfügung, da der Eintrag in der CVE-Datenbank derzeit noch mit einem Sperrvermerk versehen ist. Dies kann beispielsweise die Ursache haben, dass man auf diese Weise verhindern will, dass die Sicherheitslücke auf Basis dieser ergänzenden Informationen ausgenutzt wird.

Der brasilianische Blogger Manual do Usuário macht damit verbunden allerdings auf den Sachverhalt aufmerksam, dass die App eines der größten brasilianischen Lieferketten-Startups iFood den Standort eines seiner Leser abrufen konnte, obwohl dieser die Möglichkeit zur Standortabfrage für diese Anwendung in seinen iOS-Einstellungen ausdrücklich deaktiviert hatte. Es liegt zumindest nahe, dass dieser Sachverhalt auf der im Zusammenhang mit der Schwachstelle beschriebenen Fehlfunktion gründet.

App weiterhin im Store – Versehentlich ausgenutzt?

Verwundern darf dann allerdings, dass sich die betreffende App auch weiterhin im App Store laden lässt. Eine mögliche Erklärung lässt sich aus einer gegenüber dem Blogger abgegebenen Stellungnahme ableiten, in der davon die Rede ist, dass eine Überprüfung der App keinerlei Hinweise dahingehend ergeben habe, dass entsprechender Code in die App integriert sei.

Wenn sich die Entwickler dessen tatsächlich nicht bewusst sind, stellt sich natürlich die Frage, in welchem Umfang vergleichbare Standortabfragen auch über andere Apps gelaufen sind und ob die Schwachstelle auch gezielt auch auf bösartige Weise ausgenutzt wurde. In jedem Fall kann man festhalten, dass Apple den Fehler mit der aktuellen iOS-Version behoben hat und die Privatsphäre-Einstellungen nun tatsächlich auch so funktionieren sollten, wie gewünscht.