[新聞] 蘋果修補公開iOS裝置MAC地址長達3年的隱

作者: purplvampire (阿修雷)   2023-10-31 10:12:15
【新聞來源】
原網址:https://www.ithome.com.tw/news/159543
【新聞內容】
蘋果修補公開iOS裝置MAC地址長達3年的隱私漏洞
蘋果上周釋出iOS/iPadOS 17.1及watchOS 10.1更新,以修補3年前起就洩露iPhone、iPad
及Apple Watch MAC位置的漏洞。
更新修補的漏洞CVE-2023-42846,是由二位研究人員Talal Haj Bakry及Tommy Mysk揭露
與通報。蘋果只簡單描述,該漏洞可造成iOS裝置被人經由公開的Wi-Fi MAC位址追蹤。
這項漏洞是出在iOS中私有Wi-Fi位址(Private Wi-Fi address)的功能中。根據蘋果解
釋,裝置在連上Wi-Fi網路時,會公開一組獨特的網路位置,名為Media Access Control
(MAC)位置。但因為裝置總是使用固定的位址,這會讓網路營運商和其他觀測網路活動
的人,長期下來可以輕易掌握裝置活動和位置,便能追蹤使用者或建立使用者側寫(
profiling)。所有Wi-Fi網路上的裝置都受此影響。
蘋果從iOS/iPadOS 14及watchOS 7起加入新安全功能,可為每個Wi-Fi網路使用不同MAC位
址,名為私有Wi-Fi位址。在此功能下,如果用戶刪除網路設定和內容,下次再連上同一
Wi-Fi網路時,就會有不同私有MAC位址。而從iOS/iPadOS 15及watchOS 8起,如果iOS裝
置6個月未連Wi-Fi網路,下次再連上該網路,也會換成新的位址。要是用戶設定不記憶
Wi-Fi網路,則iOS裝置便不會記錄,除非兩次連網間隔少於2周。
不過研究人員Mysk發現,這個功能根本從iOS 14推出後就未起作用。當iPhone連上Wi-Fi
網路時,它會發送廣播呼叫以發掘網路上的AirPlay裝置。而在此時,iOS也會將裝置真實
的Wi-Fi MAC位址廣播出去。而在真實MAC網址曝光後,iOS裝置即可能被Wi-Fi網路上的其
他人追蹤。
本裝置影響的iPhone XS、iPad Pro 12.9吋第2代、iPad Pro 10.5吋及iPad Pro 11吋、
iPad Air 3、iPad 6、iPad mini 5以後,以及Apple Watch 4以後版本。
蘋果說明此漏洞出在mDNSResponder的一段程式碼錯誤,更新作業系統已移除了有bug的程
式碼。
最新iOS更新修補的漏洞,還包括可讓非經授權的使用者存取Passkeys(CVE-2023-42847
)、讀取隱藏相簿(CVE-2023-42845)、使用Siri存取敏感用戶資料,以及使應用程式存
取聯絡人資料(CVE-2023-42857)等18項安全漏洞。
【觀後心得】
蘋果iOS17.1主要修補了裝置用於網路位址定位的Bug,因為這個Bug使得私有Wifi位址
失效,讓裝備的真實網路位置曝光且容易被追蹤窺探,因此建議使用者盡快升級系統
作者: parislove3 (艾草糖)   2023-10-31 10:16:00
沒在用這功能 只會造成網管上的困擾
作者: william456 (Eureka)   2023-10-31 10:30:00
手錶電量也有感提升喔前一版太耗電了
作者: maplefff (maplefff)   2023-10-31 12:56:00
這功能真的會造成一堆小白連不上公司網路
作者: xoy (XerXes)   2023-10-31 14:01:00
隨機MAC現在Windows Android都有了,其實蠻普遍的,不過大都可以關掉
作者: mike7689 (帥啊~!老皮~!!)   2023-10-31 14:06:00
我家wifi router都是開白名單 家人需要連網的設備都要登錄mac address所以像蘋果這種隱藏真實mac address的功能都要關掉才能用
作者: biarg (塵羽)   2023-10-31 14:18:00
Android 8.0就有了

Links booklink

Contact Us: admin [ a t ] ucptt.com