苹果上周释出iOS/iPadOS 17.1及watchOS 10.1更新,以修补3年前起就泄露iPhone、iPad及Apple Watch MAC位置的漏洞。
更新修补的漏洞CVE-2023-42846,是由二位研究人员Talal Haj Bakry及Tommy Mysk揭露与通报。苹果只简单描述,该漏洞可造成iOS装置被人经由公开的Wi-Fi MAC位址追踪。
这项漏洞是出在iOS中私有Wi-Fi位址(Private Wi-Fi address)的功能中。根据苹果解释,装置在连上Wi-Fi网路时,会公开一组独特的网路位置,名为Media Access Control(MAC)位置。但因为装置总是使用固定的位址,这会让网路营运商和其他观测网路活动的人,长期下来可以轻易掌握装置活动和位置,便能追踪使用者或建立使用者侧写(profiling)。所有Wi-Fi网路上的装置都受此影响。
苹果从iOS/iPadOS 14及watchOS 7起加入新安全功能,可为每个Wi-Fi网路使用不同MAC位址,名为私有Wi-Fi位址。在此功能下,如果用户删除网路设定和内容,下次再连上同一Wi-Fi网路时,就会有不同私有MAC位址。而从iOS/iPadOS 15及watchOS 8起,如果iOS装置6个月未连Wi-Fi网路,下次再连上该网路,也会换成新的位址。要是用户设定不记忆Wi-Fi网路,则iOS装置便不会记录,除非两次连网间隔少于2周。
不过研究人员Mysk发现,这个功能根本从iOS 14推出后就未起作用。当iPhone连上Wi-Fi网路时,它会发送广播呼叫以发掘网路上的AirPlay装置。而在此时,iOS也会将装置真实的Wi-Fi MAC位址广播出去。而在真实MAC网址曝光后,iOS装置即可能被Wi-Fi网路上的其他人追踪。
本装置影响的iPhone XS、iPad Pro 12.9吋第2代、iPad Pro 10.5吋及iPad Pro 11吋、iPad Air 3、iPad 6、iPad mini 5以后,以及Apple Watch 4以后版本。
苹果说明此漏洞出在mDNSResponder的一段程式码错误,更新作业系统已移除了有bug的程式码。
最新iOS更新修补的漏洞,还包括可让非经授权的使用者存取Passkeys(CVE-2023-42847)、读取隐藏相簿(CVE-2023-42845)、使用Siri存取敏感用户资料,以及使应用程式存取联络人资料(CVE-2023-42857)等18项安全漏洞。