Si Apple vante régulièrement la protection de la vie privée de ses clients dans sa communication, le journal des modifications d’iOS 16.3 avait de quoi faire lever les sourcils. Cupertino y évoque un bug lié à Plans permettant à une app de « contourner les préférences de confidentialité » de l'utilisateur, autrement dit de potentiellement récolter ses données de localisation même s'il a explicitement refusé de les partager. Dans la foulée, une app avait été accusée de tirer parti du bug pour amasser des informations sur ses clients. Apple vient de confirmer que ce n'était pas le cas et que les utilisateurs d'iPhone n'avaient jamais été exposés au moindre risque.
Un journaliste brésilien avait notamment affirmé que l'app de livraison de nourriture iFood accédait à l'emplacement de certains utilisateurs lorsque le programme n'était pas ouvert et que le suivi de la localisation avait été décoché. « Même lorsque l'utilisateur a complètement refusé l'accès à la localisation, l'application iFood a continué à accéder à la localisation de son téléphone », écrivait-il dans un billet de blog, capture d'écran d'iOS 16.2 à l'appui. L'entreprise iFood avait alors réfuté l'accusation en répondant qu'aucun morceau de code un peu trop curieux n'avait été identifié.
Apple en remet aujourd'hui une couche dans un communiqué envoyé au site 9to5Mac. L'entreprise affirme que la faille ne pouvait être exploitée « qu'à partir d'applications n'étant pas dans la sandbox sur macOS ». Elle précise que le correctif a été publié sur iOS, iPadOS, tvOS et watchOS étant donné que le bout de code retouché est commun aux quatre systèmes, même si certains n'ont jamais été en danger.
« L'idée selon laquelle cette vulnérabilité aurait pu permettre aux applications de contourner les préférences de l'utilisateur sur l'iPhone est fausse », explique Cupertino. Elle termine sa déclaration en spécifiant avoir enquêté sur une app iOS qui aurait pu recourir à cette faille (que l'on imagine être iFood), et conclu que « l'application ne contournait les contrôles de l'utilisateur par aucun mécanisme ».
