苹果上周释出iOS/iPadOS 17.1及watchOS 10.1更新,以修补3年前起就泄露iPhone、iPad及Apple Watch MAC位置的漏洞。
更新修补的漏洞CVE-2023-42846,是由二位研究人员Talal Haj Bakry及Tommy Mysk揭露与通报。 苹果只简单描述,该漏洞可造成iOS装置被人经由公开的Wi-Fi MAC地址追踪。
这项漏洞是出在 iOS 中私有 Wi-Fi 地址(Private Wi-Fi address)的功能中。 根据苹果解释,设备在连上Wi-Fi网络时,会公开一组独特的网络位置,名为Media Access Control(MAC)位置。 但因为设备总是使用固定的地址,这会让网络运营商和其他观测网络活动的人,长期下来可以轻易掌握设备活动和位置,便能追踪用户或建立使用者侧写(profiling)。 所有Wi-Fi网络上的设备都受此影响。
苹果从iOS/iPadOS 14及watchOS 7起加入新安全功能,可为每个Wi-Fi网络使用不同MAC地址,名为私有Wi-Fi地址。 在此功能下,如果用户删除网络设置和内容,下次再连上同一Wi-Fi网络时,就会有不同私有MAC地址。 而从iOS/iPadOS 15及watchOS 8起,如果iOS装置6个月未连Wi-Fi网络,下次再连上该网路,也会换成新的地址。 要是用户设置不记忆Wi-Fi网络,则iOS设备便不会记录,除非两次连网间隔少于2周。
不过研究人员Mysk发现,这个功能根本从iOS 14推出后就未起作用。 当iPhone连上Wi-Fi网络时,它会发送广播呼叫以发掘网络上的AirPlay装置。 而在此时,iOS也会将设备真实的Wi-Fi MAC地址广播出去。 而在真实MAC网址曝光后,iOS装置即可能被Wi-Fi网络上的其他人追踪。
本装置影响的iPhone XS、iPad Pro 12.9吋第2代、iPad Pro 10.5吋及iPad Pro 11吋、iPad Air 3、iPad 6、iPad mini 5以后,以及Apple Watch 4以后版本。
苹果说明此漏洞出在mDNSResponder的一段代码错误,更新操作系统已移除了有bug的代码。
最新iOS更新修补的漏洞,还包括可让非经授权的用户存取Passkeys(CVE-2023-42847)、读取隐藏相册(CVE-2023-42845)、使用Siri访问敏感用户数据,以及使应用程序访问联系人数据(CVE-2023-42857)等18项安全漏洞。
