Durch die iOS-Datenschutzeinstellungen können Nutzer Apps daran hindern, ein Bewegungsprofil des Anwenders zu erstellen. Die Einstellung erlauben es, entweder jegliche Ortung zu unterbinden, stets nachzufragen oder eine ständige Ortung zu erlauben. Besonders bei letzterer Option sollten Anwender Vorsicht walten lassen, wenn es sich um Dritthersteller-Apps handelt, da diese dann ein komplettes Bewegungsprofil erstellen kann.


Apple gab letzte Woche iOS 16.3 für alle Nutzer frei – und das Update brachte eine wohl sehr wichtige Sicherheitsaktualisierung mit: Offenbar fand sich im Framework MapKit, welches die Darstellung von Karten in iOS-Apps erlaubt, eine schwerwiegende Sicherheitslücke wieder. Diese wird unter der "Common Vulnerabilities and Exposures"-Nummer CVE-2023-23503 gehandelt, doch hier wurden bislang keine Informationen bezüglich der Schwachstelle hinterlegt. Die Veröffentlichung von detaillierten Informationen erfolgt meist zu einem späteren Zeitpunkt, um Hackern keine Möglichkeit zu bieten, die Schwachstelle doch noch auszunutzen, solange nicht die allermeisten Kunden eine Aktualisierung der Software durchgeführt haben.

Spärliche Informationen von Apple
Apple gibt bislang nur an, dass sich im MapKit-Framework ein Fehler wiederfand, welcher es erlaubte, die Dateschutzeinstellungen zu umgehen. Apple habe an der Stelle einen Logik-Fehler behoben und das interne Status-Management im Framework verbessert. Offenbar konnten Apps durch den Einsatz des Frameworks eine ständige Ortung des Nutzers erreichen, welche trotz anderslautenden Datenschutzeinstellungen funktionierte – und sogar bei der App-Store-Begutachtung nicht aufgefallen ist.

Bereits ausgenutzt?
Der brasilianische Lieferdienst "iFood" könnte die Lücke ausgenutzt haben, denn wie ein Nutzer feststellen musste, wurde der genaue Standort mit der App geteilt, obwohl die Datenschutzeinstellung eine Ortung ausschlossen. Natürlich ist hier nicht gesichert, ob "iFood" tatsächlich die Schwachstelle ausgenutzt hat – oder ob durch einen völlig anderen Fehler im iOS-Betriebssystem die Datenschutzeinstellungen nicht korrekt übernommen wurden.