看板 iOS
【新聞來源】 原網址:https://www.ithome.com.tw/news/159543 【新聞內容】 蘋果修補公開iOS裝置MAC地址長達3年的隱私漏洞 蘋果上周釋出iOS/iPadOS 17.1及watchOS 10.1更新,以修補3年前起就洩露iPhone、iPad 及Apple Watch MAC位置的漏洞。 更新修補的漏洞CVE-2023-42846,是由二位研究人員Talal Haj Bakry及Tommy Mysk揭露 與通報。蘋果只簡單描述,該漏洞可造成iOS裝置被人經由公開的Wi-Fi MAC位址追蹤。 這項漏洞是出在iOS中私有Wi-Fi位址(Private Wi-Fi address)的功能中。根據蘋果解 釋,裝置在連上Wi-Fi網路時,會公開一組獨特的網路位置,名為Media Access Control (MAC)位置。但因為裝置總是使用固定的位址,這會讓網路營運商和其他觀測網路活動 的人,長期下來可以輕易掌握裝置活動和位置,便能追蹤使用者或建立使用者側寫( profiling)。所有Wi-Fi網路上的裝置都受此影響。 蘋果從iOS/iPadOS 14及watchOS 7起加入新安全功能,可為每個Wi-Fi網路使用不同MAC位 址,名為私有Wi-Fi位址。在此功能下,如果用戶刪除網路設定和內容,下次再連上同一 Wi-Fi網路時,就會有不同私有MAC位址。而從iOS/iPadOS 15及watchOS 8起,如果iOS裝 置6個月未連Wi-Fi網路,下次再連上該網路,也會換成新的位址。要是用戶設定不記憶 Wi-Fi網路,則iOS裝置便不會記錄,除非兩次連網間隔少於2周。 不過研究人員Mysk發現,這個功能根本從iOS 14推出後就未起作用。當iPhone連上Wi-Fi 網路時,它會發送廣播呼叫以發掘網路上的AirPlay裝置。而在此時,iOS也會將裝置真實 的Wi-Fi MAC位址廣播出去。而在真實MAC網址曝光後,iOS裝置即可能被Wi-Fi網路上的其 他人追蹤。 本裝置影響的iPhone XS、iPad Pro 12.9吋第2代、iPad Pro 10.5吋及iPad Pro 11吋、 iPad Air 3、iPad 6、iPad mini 5以後,以及Apple Watch 4以後版本。 蘋果說明此漏洞出在mDNSResponder的一段程式碼錯誤,更新作業系統已移除了有bug的程 式碼。 最新iOS更新修補的漏洞,還包括可讓非經授權的使用者存取Passkeys(CVE-2023-42847 )、讀取隱藏相簿(CVE-2023-42845)、使用Siri存取敏感用戶資料,以及使應用程式存 取聯絡人資料(CVE-2023-42857)等18項安全漏洞。 【觀後心得】 蘋果iOS17.1主要修補了裝置用於網路位址定位的Bug,因為這個Bug使得私有Wifi位址 失效,讓裝備的真實網路位置曝光且容易被追蹤窺探,因此建議使用者盡快升級系統 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.177.101.164 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/iOS/M.1698718338.A.B40.html ※ 編輯: purplvampire (180.177.101.164 臺灣), 10/31/2023 10:13:16
parislove3: 沒在用這功能 只會造成網管上的困擾 10/31 10:16
william456: 手錶電量也有感提升喔 10/31 10:30
william456: 前一版太耗電了 10/31 10:32
maplefff: 這功能真的會造成一堆小白連不上公司網路 10/31 12:56
xoy: 隨機MAC現在Windows Android都有了,其實蠻普遍的,不過大都 10/31 14:01
Chricey: 樓下關節痛都吃鞏固力 10/31 14:01
xoy: 可以關掉 10/31 14:01
mike7689: 我家wifi router都是開白名單 家人需要連網的設備都要登 10/31 14:06
mike7689: 錄mac address 10/31 14:06
mike7689: 所以像蘋果這種隱藏真實mac address的功能都要關掉才能 10/31 14:06
Chricey: 有人知道UC2和其他關節保健品的差異嗎? 10/31 14:06
mike7689: 用 10/31 14:06
biarg: Android 8.0就有了 10/31 14:18