Niet-privé: iPhones hebben hun werkelijke MAC-adressen onthuld
Het lijkt erop dat de belangrijke iOS-gegevensbeschermingsfunctie tot nu toe grotendeels nutteloos is geweest. Pas met iOS 17.1 heeft Apple onlangs een probleem opgelost dat het mogelijk maakte om apparaten passief te volgen op basis van hun fysieke MAC-adres. Het lek werd verholpen door de zwakke code te verwijderen, zo maakte de fabrikant eind vorige week bekend.
advertentie
Het daadwerkelijke MAC-adres wordt verzonden – alleen naar een andere locatie
Sinds de introductie van iOS 14 drie jaar geleden werkt het besturingssysteem standaard met zogenaamde privé WLAN-adressen: in plaats van een uniek MAC-adres (media access control-adres) te onthullen bij verbinding met een WLAN, creëert het systeem van Apple een adres voor elke SSID waarmee de iPhone verbinding maakt Willekeurig MAC-adres. Daarom moet een statisch MAC-adres – dat gemakkelijk te traceren is – verborgen blijven.
Zelfs in niet-gepatchte versies verbergt het besturingssysteem zelfs het echte MAC-adres en wordt het in ieder geval niet geïdentificeerd als de bron van berichten naar andere apparaten in het netwerk. Ze zijn echter nog steeds te vinden in multicast-berichten die naar andere apparaten worden verzonden, zoals beveiligingsonderzoeker Tommy Miske opmerkte en aan Apple rapporteerde. Het daadwerkelijke MAC-adres wordt slechts enigszins vermeld in een ander veld, Video gedocumenteerde vangst. Het blijft onduidelijk waarom Apple of externe beveiligingsonderzoekers dit ruim drie jaar lang niet hebben opgemerkt, evenals de vraag of de bug is misbruikt voor trackingdoeleinden.
Tracking via MAC-adres
Privé WLAN-adressen zijn eigenlijk bedoeld om het moeilijker te maken of te voorkomen dat aanvallers in uw netwerk of een grotere exploitant van commerciële WLAN-hotspots een verkeersprofiel voor individuele iPhones aanmaken. Android gebruikt een vergelijkbare technologie en de beveiligingsonderzoeker kon daar geen dergelijke bugs vinden.
Kort nadat de functionaliteit drie jaar geleden werd geïntroduceerd, veroorzaakten willekeurige MAC-adressen op iPhones enkele ernstige problemen, vooral op bedrijfsnetwerken. Ondertussen heeft Apple de bug ook opgelost in iPadOS 17.1, iOS/iPadOS 16.7.2 en watchOS 10.1. Updates zijn sinds vorige week algemeen beschikbaar voor iPhone, iPad en Apple Watches.
(pond)
“Coffee fanatic. Gamer. Award-winning zombie aficionado. College student. Hardcore internet proponent. Twitter guru. Subtly charming bacon nerd. Thinker.”