Anfang dieses Monats, als Apple iOS 16.3 veröffentlichte, haben wir Ihnen mitgeteilt, dass eines der durch das Update behobenen Sicherheitsupdates als CVE-2023-23503 aufgeführt war. Die Verwendung von Common Vulnerabilities and Exposures (CVE)-Tracking-Nummern soll der Öffentlichkeit helfen, Schwachstellen leichter zu verfolgen. Dieser Datenschutzfehler stand im Zusammenhang mit Apple Maps und könnte es Angreifern ermöglichen, „Datenschutzeinstellungen zu umgehen“, wenn er ausgenutzt wird.
Nun, das klingt nicht gut, tut es. Aber Apple sagte
9to5Mac heute, dass diese Schwachstelle nie eine Bedrohung für iPhone-Benutzer war. Die Schwachstelle, die in iOS 16.3 gepatcht wurde, „konnte nur von Apps ohne Sandbox auf macOS ausgenutzt werden“. Wie Apple in seiner Erklärung sagte: „Der Vorschlag, dass diese Schwachstelle es Apps ermöglicht haben könnte, Benutzerkontrollen auf dem iPhone zu umgehen, ist falsch.“
Sandbox-Apps erhalten ihre eigene „Sandbox“, in der sie „spielen“ können, um zu verhindern, dass sie auf Dateien zugreifen, die von anderen Apps verwendet werden, oder Änderungen an einem Gerät vornehmen. Da alle Apps von Drittanbietern, die für das iPhone im App Store verfügbar sind, in einer Sandbox gespeichert werden müssen, wäre die einzige Möglichkeit, die Apps ohne Sandbox zu installieren, die die Schwachstelle ausnutzen könnten, das Sideload von Apps auf dem iPhone, was Apple nicht zulässt.
Das iOS 16.3-Update beseitigte einige Softwarefehler
Wenn also iPhone-Benutzer nicht gefährdet waren, warum hat Apple den Fix in iOS 16.3 aufgenommen? Da die Codebasis für macOS von iOS, iPadOS, tvOS und watchOS geteilt wird, hat Apple beschlossen, den Fix in alle Updates aufzunehmen, die letzte Woche veröffentlicht wurden.
Apple hat auch einen Bericht abgeschossen, den wir in die zuvor besprochene Geschichte aufgenommen haben und der besagt, dass eine iOS-App namens iFood (eine der führenden Plattformen für die Lieferung von Lebensmitteln in Brasilien) eine Schwachstelle ausgenutzt hat, die es ihr ermöglichte, auf „den Standort eines Benutzers sogar in iOS 16.2 zuzugreifen wenn der Benutzer der App jeglichen Standortzugriff verweigert hat.” Apple sagte, dass eine „Folgeuntersuchung ergab, dass die App die Benutzersteuerung durch keinen Mechanismus umgeht“.
Da haben Sie es also, Leute. Ihre iPhone-Handys waren nie gefährdet, und Brasilianer, die Essen über die iFood-App bestellten, erlaubten Angreifern nicht, an Ihre Standortdaten zu gelangen. Vielleicht kannst du heute Nacht besser schlafen.
