Apple wprowadził funkcję, która w 2020 roku ukrywała stały adres MAC użytkownika, ale do iOS 17.1 była praktycznie bezużyteczna ze względu na załataną już lukę.

Gdy urządzenie łączy się z siecią, wykonuje niezbędne uzgadnianie, udostępniając swój unikalny adres MAC. Jeśli podmiot może uzyskać dostęp do adresów MAC uzyskujących dostęp do sieci na wystarczająco dużą skalę, może śledzić użytkowników przemieszczających się między sieciami.

Według raportu z Ars TechnicaApple wdrożyło funkcję, która uniemożliwiałaby śledzenie adresów MAC, ale luka w zabezpieczeniach uczyniła ją praktycznie bezużyteczną od czasu debiutu w iOS 14. Funkcja prywatnego adresu Wi-Fi jest domyślnie włączona i obiecuje przypisać inny adres MAC do każdego unikalnego identyfikatora SSID , co miało miejsce w praktyce.

Problem polega na tym, że stały adres MAC, który rzekomo był zaciemniany przez tę funkcję, nadal był udostępniany przez port 5353/UDP. Podstawowe wąchanie adresów MAC zostało ograniczone, ale każdy, kto szuka, mógł z łatwością znaleźć prawdziwy adres MAC, co stanowi problem dla tych, którzy oczekują, że ta funkcja będzie działać.

Z raportu wynika, że ​​byłoby to proste rozwiązanie, ale nie jest jasne, dlaczego Apple potrzebowało trzech lat na jego wdrożenie. Zwykli użytkownicy nie muszą się martwić tą luką, ale adres MAC mógł zostać naruszony u każdego, kto musiał ukryć swój adres MAC i oczekiwał, że ta funkcja będzie działać.

Apple informuje, że luka została załatana w iOS 17.1. Został on odnaleziony pod numerem CVE02923-42846 i przypisany Talalowi Haj Bakry’emu i Tommy’emu Myskowi.