作者purplvampire (阿修雷)
看板iOS
標題[新聞] 蘋果修補公開iOS裝置MAC地址長達3年的隱
時間Tue Oct 31 10:12:15 2023
【新聞來源】
原網址:
https://www.ithome.com.tw/news/159543
【新聞內容】
蘋果修補公開iOS裝置MAC地址長達3年的隱私漏洞
蘋果上周釋出iOS/iPadOS 17.1及watchOS 10.1更新,以修補3年前起就洩露iPhone、iPad
及Apple Watch MAC位置的漏洞。
更新修補的漏洞CVE-2023-42846,是由二位研究人員Talal Haj Bakry及Tommy Mysk揭露
與通報。蘋果只簡單描述,該漏洞可造成iOS裝置被人經由公開的Wi-Fi MAC位址追蹤。
這項漏洞是出在iOS中私有Wi-Fi位址(Private Wi-Fi address)的功能中。根據蘋果解
釋,裝置在連上Wi-Fi網路時,會公開一組獨特的網路位置,名為Media Access Control
(MAC)位置。但因為裝置總是使用固定的位址,這會讓網路營運商和其他觀測網路活動
的人,長期下來可以輕易掌握裝置活動和位置,便能追蹤使用者或建立使用者側寫(
profiling)。所有Wi-Fi網路上的裝置都受此影響。
蘋果從iOS/iPadOS 14及watchOS 7起加入新安全功能,可為每個Wi-Fi網路使用不同MAC位
址,名為私有Wi-Fi位址。在此功能下,如果用戶刪除網路設定和內容,下次再連上同一
Wi-Fi網路時,就會有不同私有MAC位址。而從iOS/iPadOS 15及watchOS 8起,如果iOS裝
置6個月未連Wi-Fi網路,下次再連上該網路,也會換成新的位址。要是用戶設定不記憶
Wi-Fi網路,則iOS裝置便不會記錄,除非兩次連網間隔少於2周。
不過研究人員Mysk發現,這個功能根本從iOS 14推出後就未起作用。當iPhone連上Wi-Fi
網路時,它會發送廣播呼叫以發掘網路上的AirPlay裝置。而在此時,iOS也會將裝置真實
的Wi-Fi MAC位址廣播出去。而在真實MAC網址曝光後,iOS裝置即可能被Wi-Fi網路上的其
他人追蹤。
本裝置影響的iPhone XS、iPad Pro 12.9吋第2代、iPad Pro 10.5吋及iPad Pro 11吋、
iPad Air 3、iPad 6、iPad mini 5以後,以及Apple Watch 4以後版本。
蘋果說明此漏洞出在mDNSResponder的一段程式碼錯誤,更新作業系統已移除了有bug的程
式碼。
最新iOS更新修補的漏洞,還包括可讓非經授權的使用者存取Passkeys(CVE-2023-42847
)、讀取隱藏相簿(CVE-2023-42845)、使用Siri存取敏感用戶資料,以及使應用程式存
取聯絡人資料(CVE-2023-42857)等18項安全漏洞。
【觀後心得】
蘋果iOS17.1主要修補了裝置用於網路位址定位的Bug,因為這個Bug使得私有Wifi位址
失效,讓裝備的真實網路位置曝光且容易被追蹤窺探,因此建議使用者盡快升級系統
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.177.101.164 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/iOS/M.1698718338.A.B40.html
※ 編輯: purplvampire (180.177.101.164 臺灣), 10/31/2023 10:13:16
→ parislove3: 沒在用這功能 只會造成網管上的困擾 10/31 10:16
推 william456: 手錶電量也有感提升喔 10/31 10:30
推 william456: 前一版太耗電了 10/31 10:32
推 maplefff: 這功能真的會造成一堆小白連不上公司網路 10/31 12:56
推 xoy: 隨機MAC現在Windows Android都有了,其實蠻普遍的,不過大都 10/31 14:01
推 Chricey: 樓下關節痛都吃鞏固力 10/31 14:01→ xoy: 可以關掉 10/31 14:01
推 mike7689: 我家wifi router都是開白名單 家人需要連網的設備都要登 10/31 14:06
→ mike7689: 錄mac address 10/31 14:06
→ mike7689: 所以像蘋果這種隱藏真實mac address的功能都要關掉才能 10/31 14:06
推 Chricey: 有人知道UC2和其他關節保健品的差異嗎? 10/31 14:06→ mike7689: 用 10/31 14:06
→ biarg: Android 8.0就有了 10/31 14:18