Новости IPhone три года сливали MAC-адрес из-за дефектной функции приватности

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.236
Репутация
11.800
Реакции
61.962
RUB
50
На днях Apple выпустила патч для уязвимости в iOS, провоцирующей отслеживание мобильных устройств по MAC-адресу.


Проблема возникла из-за некорректной реализации функции обеспечения приватности, появившейся в iPhone три года назад. Данный механизм призван предотвратить такую слежку и по умолчанию активен. При подключении гаджета к сети Wi-Fi он, по замыслу, должен скрывать MAC, заменяя его уникальным частным адресом.

iphones_exposing_mac_news.png


Как оказалось, из-за ошибки в коде реальный (постоянный) MAC-адрес все же транслируется на все подключенные к Wi-Fi-сети устройства (порт 5353/UDP): он просто записывается в другое поле запроса на обнаружение.

В комментарии для Ars Technica один из авторов неприятной находки, Томми Мыск (Tommy Mysk), отметил, что он протестировал все выпуски iOS за последние годы и везде, начиная с версии 14 (сентябрь 2020), обнаружил ту же проблему.

«Функция с самого начала была бесполезной из-за бага, — сокрушается исследователь.

— Пресечь отправку подобных запросов с устройств не смог ни VPN, ни режим блокировки». Патч для данной уязвимости (CVE-2023-42846) включен в состав обновлений iOS 17.1 и iPadOS 17.1, вышедших 25 октября.




 
Сверху Снизу