Останнім часом приватність даних користувачів стала одним із пріоритетних напрямків для багатьох технологічних компаній. Apple, відома своїм суворим підходом до захисту особистих даних користувачів, представила функцію приховування MAC-адрес модулів Wi-Fi у її пристроях для підвищення анонімності. Однак, згідно зі звітом, опублікованим на технологічному порталі Ars Technica, ця функція працювала некоректно протягом трьох років.
Функцію приховування MAC-адрес було введено в оновленні iOS 8 у 2014 році з метою забезпечення додаткової анонімності користувачів у мережах Wi-Fi. MAC-адреса – це унікальний ідентифікатор, пов’язаний з апаратним забезпеченням пристрою, який може бути використаний третіми сторонами для відстеження переміщень користувача. За задумом Apple, заміна MAC-адреси на випадкові значення для кожної мережі Wi-Fi мала допомогти у розв’язанні цієї проблеми.
Однак, як з’ясувалося, функція не працювала належним чином з моменту випуску оновлення iOS 14 у 2020 році. iPhone дійсно передавали на точку доступу випадкову MAC-адресу Wi-Fi. Однак якщо копнути глибше, виявляється, що реальний MAC, як і раніше, передається решті всіх підключених пристроїв, просто в іншому полі запиту.
Дослідники безпеки опублікували невеликий відеоролик, в якому показаний Mac, який використовує програму Wireshark packet sniffer для моніторингу трафіку в локальній мережі, до якої він підключений. Коли до мережі підключається iPhone під керуванням iOS до версії 17.1, він передає свою реальну MAC-адресу Wi-Fi на порт 5353/UDP.
Це означає, що протягом останніх трьох років користувачі iPhone були потенційно вразливими для відстеження їх через мережі Wi-Fi третіми сторонами. Помилка функції приховування MAC-адрес була виявлена незалежними дослідниками, які повідомили про це Apple.
«З самого початку ця функція була марною через цю помилку. Ми не могли заборонити пристроям надсилати ці запити на виявлення, навіть за допомогою VPN. Навіть у режимі Lockdown Mode», – зазначив один із дослідників.
У середу компанія Apple випустила iOS 17.1. Серед різних виправлень було відзначено виправлення вразливості, що відстежується як CVE-2023-42846, яка не дозволяла працювати функції конфіденційності зі змінними MAC-адресами. Apple не пояснила, як така елементарна помилка так довго залишалася непоміченою. У повідомленні, випущеному компанією в середу, йдеться лише про те, що виправлення працює внаслідок “видалення вразливого коду”.
Цей інцидент є наочним нагадуванням про те, наскільки важливим є постійне тестування та моніторинг функцій безпеки та приватності у продуктах, призначених для широкого кола користувачів. Це також наголошує на важливості відкритого діалогу між компаніями, дослідниками та користувачами у питаннях забезпечення приватності та безпеки даних.
