蘋果 iOS / iPadOS 17.1 修補(bǔ) 3 年漏洞:會(huì)暴露真實(shí) MAC 地址
10 月 28 日消息,蘋果公司在 10 月 26 日發(fā)布的 iOS / iPadOS 17.1 正式版中,修復(fù)了存在 3 年之久的“私有 Wi-Fi 地址”缺陷,為用戶提供更完善的安全防護(hù)。
小編注:要與無線局域網(wǎng)通信,設(shè)備必須使用一個(gè)唯一的網(wǎng)絡(luò)地址在網(wǎng)絡(luò)上標(biāo)識(shí)自己,這個(gè)地址被稱為媒體訪問控制 (MAC) 地址。
如果設(shè)備在所有網(wǎng)絡(luò)上始終使用同一個(gè)無線局域網(wǎng) MAC 地址,久而久之,網(wǎng)絡(luò)運(yùn)營商和其他網(wǎng)絡(luò)觀察者可以更輕松地將這個(gè)地址與設(shè)備的網(wǎng)絡(luò)活動(dòng)及位置聯(lián)系起來,從而進(jìn)行某種用戶跟蹤或分析,而且這適用于所有無線局域網(wǎng)上的所有設(shè)備。
蘋果在 2020 年推出的 iOS 14、iPadOS 14 和 watchOS 7 開始,引入了“私有地址”功能,通過在每個(gè)無線局域網(wǎng)中使用不同的 MAC 地址來更好地保護(hù)隱私。
不過實(shí)驗(yàn)證明“私有地址”功能有點(diǎn)“形同虛設(shè)”,Tommy Mysk 和 Talal Haj 兩位安全專家報(bào)告并發(fā)現(xiàn)了這個(gè)漏洞,追蹤編號(hào)為 CVE-2023-42846,表示最早可以追溯到 iOS 14。
當(dāng) iPhone 或任何其他設(shè)備加入網(wǎng)絡(luò)時(shí),它會(huì)觸發(fā)發(fā)送到網(wǎng)絡(luò)上所有其他設(shè)備的多播消息。根據(jù)需要,該消息必須包含 MAC 地址,從 iOS 14 開始,默認(rèn)情況下,每個(gè) SSID 的值都應(yīng)該不同。
Mysk 發(fā)布了一段演示視頻,使用 Wireshark 數(shù)據(jù)包嗅探器,監(jiān)控 Mac 地址連接到的本地網(wǎng)絡(luò)上的流量。
運(yùn)行 iOS 17.1 此前版本的 iPhone 加入之后,在 5353 / UDP 端口上依然能夠看到真實(shí)的 Wi-Fi MAC 地址。
對(duì)于大多數(shù) iPhone 和 iPad 用戶來說,即使有影響,影響也可能很小。但對(duì)于擁有嚴(yán)格隱私威脅模型的人來說,這些設(shè)備在三年內(nèi)無法隱藏真實(shí) MAC 地址可能是一個(gè)真正的問題。
本站部分文章來自網(wǎng)絡(luò)或用戶投稿。涉及到的言論觀點(diǎn)不代表本站立場。閱讀前請(qǐng)查看【免責(zé)聲明】發(fā)布者:,如若本篇文章侵犯了原著者的合法權(quán)益,可聯(lián)系我們進(jìn)行處理。本文鏈接:http://www.gdyuanyu.cn/tougao/108086.html