דיווח ביום שלישי מציע כי דגמי ה-iPhone 11 Pro של אפל, ואולי גם דגמי ה-iPhone 11, אוספים ומשדרים באופן רציף נתוני מיקום כאשר הגדרות שירותי המיקום הניתנות לבחירת המשתמש מושבתות, התנהגות שעלולה להוות סיכון אבטחה פוטנציאלי.
מתווה עיתונאי האבטחה בריאן קרבס,אייפון 11 פרונראהפינג מעת לעתמודול ה-GPS שלו לאיסוף נתוני מיקום מול רצונות המשתמש.
קרבס הדגים את הפעילות בסרטון שצולם ב-11 Pro המריץ את תוכנת iOS 13.2.3 העדכנית ביותר של אפל, אשר ממשיכה לאסוף נתוני GPS עבור אפליקציות ושירותי מערכת מסוימים למרות השבתה ידנית של שירותי מיקום בודדים בהגדרות האייפון. מעניין לציין ש-iPhone 11 Pro מחפש נתוני GPS גם כאשר מתג שירותי המיקום של אפליקציה מוגדר ל"לעולם לא" לבקש מידע כאמור.
אפל במדיניות פרטיות הזמינה לעיון במסך ההגדרות של שירותי המיקום של האייפון אומרת שהמכשיר "ישלח מעת לעת את המיקומים המתויגים גיאוגרפיים של נקודות חמות Wi-Fi ומגדלי סלולרי קרובים (כאשר נתמכים על ידי מכשיר) בצורה אנונימית ומוצפנת לאפל , כדי לשמש להגדלת מסד הנתונים של נקודות חמות Wi-Fi ומיקומי מגדל סלולרי ממקור המונים." החברה מציינת כי ניתן להשבית שירותי מערכת מבוססי מיקום בנפרד בהגדרות, אך קרבס מצא כי אייפון או iOS מבצעים חריגים עבור שירותים מסוימים.
"אבל כנראה שיש כמה שירותי מערכת במודל הזה (ואולי אחריםאייפון 11מודלים) המבקשים נתוני מיקום ואינם יכולים לנטרל את המשתמשים מבלי לכבות לחלוטין את שירותי המיקום, מכיוון שסמל החץ עדיין מופיע מדי פעם גם לאחר השבתה בנפרד של כל שירותי המערכת המשתמשים במיקום", מסביר קרבס.
כפי שהוכח בקליפ הקצר, מחוון שירותי המיקום של אפל של iOS, סמל חץ קטן המציין שימוש עדכני או נוכחי בנתוני GPS, מופיע לצד אפליקציות ושירותים שהושבתו באופן ידני בהגדרות.
ב-iOS, משתמשים יכולים להפעיל ולנטרל שירותי מיקום מערכת באמצעות ממשק משתמש המסופק ב-פרטיות > שירותי מיקוםחלק באפליקציית ההגדרות. מנגנון הניהול הוא מאוד מפורט ומציע שליטה באפליקציות של צד ראשון ושלישי, שירותי iOS בסיסיים ותכונות אחרות של אפל. כלים אלה קיבלו חיזוק ב-iOS 13, מה שמשפר מאוד את השליטה של המשתמש על תכונות שיתוף הנתונים ומצמצם את האפשרות לתכונות מעקב אחר מיקום בשוגג.
בעבר, אפליקציות של צד שלישי יכלו לבקש נתוני מיקום קבועים של המכשיר עם ההגדרה הראשונית, אך iOS 13 מסירה את היכולת הזו. יתר על כן, כאשר מעקב תמידי מופעל באופן ידני בתפריט ההגדרות, מופיע מעת לעת חלון מוקפץ כדי להזכיר למשתמשים את התצורה ומספק אפשרות לכבות אותה.
אפל לא מיישמת את אותן הגבלות על האפליקציות שלה, אבל כן מיידעת את בעלי האייפון על נוהלי שירותי המיקום שלה בהסכמי משתמשי תוכנה.
קרבס לא הצליח לשחזר את בעיית האבטחה הפוטנציאלית באייפון 8. לא ידוע אם האייפון 11 של אפל פועל בצורה זהה.
כאשר יצרו קשר לגבי הבאג האפשרי שסותר לכאורה את מדיניות הפרטיות שלה, אפל אמרה שההתנהגות צפויה.
"אנחנו לא רואים שום השלכות אבטחה ממשיות", אמר מהנדס אפל. "ההתנהגות הצפויה היא שסמל שירותי המיקום יופיע בשורת המצב כאשר שירותי המיקום מופעלים. הסמל מופיע עבור שירותי מערכת שאין להם מתג בהגדרות."
קרבס מאמין שהפעילות המוזרה עשויה להיות קשורה לחומרת אייפון חדשה שהוצגה לתמיכה ב-Wi-Fi 6, אך התיאוריה הזו נותרה לא מאומתת.
לעת עתה, הדרך הבטוחה היחידה להימנע מפינגי GPS לסירוגין באייפון 11 Pro היא להשבית לחלוטין את שירותי המיקום בהגדרות. עם זאת, פעולה זו הופכת תכונות רבות של אייפון לחסרות תועלת.
