【新闻来源】 原网址：https://www.ithome.com.tw/news/159543 【新闻内容】 苹果修补公开iOS装置MAC地址长达3年的隐私漏洞 苹果上周释出iOS/iPadOS 17.1及watchOS 10.1更新，以修补3年前起就泄露iPhone、iPad 及Apple Watch MAC位置的漏洞。 更新修补的漏洞CVE-2023-42846，是由二位研究人员Talal Haj Bakry及Tommy Mysk揭露 与通报。苹果只简单描述，该漏洞可造成iOS装置被人经由公开的Wi-Fi MAC位址追踪。 这项漏洞是出在iOS中私有Wi-Fi位址（Private Wi-Fi address）的功能中。根据苹果解 释，装置在连上Wi-Fi网路时，会公开一组独特的网路位置，名为Media Access Control （MAC）位置。但因为装置总是使用固定的位址，这会让网路营运商和其他观测网路活动 的人，长期下来可以轻易掌握装置活动和位置，便能追踪使用者或建立使用者侧写（ profiling）。所有Wi-Fi网路上的装置都受此影响。 苹果从iOS/iPadOS 14及watchOS 7起加入新安全功能，可为每个Wi-Fi网路使用不同MAC位 址，名为私有Wi-Fi位址。在此功能下，如果用户删除网路设定和内容，下次再连上同一 Wi-Fi网路时，就会有不同私有MAC位址。而从iOS/iPadOS 15及watchOS 8起，如果iOS装 置6个月未连Wi-Fi网路，下次再连上该网路，也会换成新的位址。要是用户设定不记忆 Wi-Fi网路，则iOS装置便不会记录，除非两次连网间隔少於2周。 不过研究人员Mysk发现，这个功能根本从iOS 14推出後就未起作用。当iPhone连上Wi-Fi 网路时，它会发送广播呼叫以发掘网路上的AirPlay装置。而在此时，iOS也会将装置真实 的Wi-Fi MAC位址广播出去。而在真实MAC网址曝光後，iOS装置即可能被Wi-Fi网路上的其 他人追踪。 本装置影响的iPhone XS、iPad Pro 12.9寸第2代、iPad Pro 10.5寸及iPad Pro 11寸、 iPad Air 3、iPad 6、iPad mini 5以後，以及Apple Watch 4以後版本。 苹果说明此漏洞出在mDNSResponder的一段程式码错误，更新作业系统已移除了有bug的程 式码。 最新iOS更新修补的漏洞，还包括可让非经授权的使用者存取Passkeys（CVE-2023-42847 ）、读取隐藏相簿（CVE-2023-42845）、使用Siri存取敏感用户资料，以及使应用程式存 取联络人资料（CVE-2023-42857）等18项安全漏洞。 【观後心得】 苹果iOS17.1主要修补了装置用於网路位址定位的Bug，因为这个Bug使得私有Wifi位址 失效，让装备的真实网路位置曝光且容易被追踪窥探，因此建议使用者尽快升级系统 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 180.177.101.164 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/iOS/M.1698718338.A.B40.html ※ 编辑: purplvampire (180.177.101.164 台湾), 10/31/2023 10:13:16