蘋果修復長年侵害 iOS 隱私功能的漏洞
問題背景
蘋果公司最近解決了其 iPhone 和 iPad 軟體的一個長期存在的漏洞,這個漏洞自從該功能首次問世以來就損害了隱私。2020 年,蘋果在 iOS 14 中宣布了一項新功能,可以阻止附近的無線路由器和存取點收集蘋果裝置的唯一 MAC 位址。追蹤 MAC 位址可能具有合法用途,如允許管理員識別存取到其網路的每個裝置,例如未經授權的裝置。但是知道裝置的 MAC 位址可以用於在不同網路上追蹤該裝置。iOS 的這個功能不是分享裝置的唯一 MAC 位址,而是為每個網路使用不同的“私人位址”。然而據安全研究人員 Tommy Mysk 和 Talal Haj Bakry 發現,這個功能自首次引入以來就沒有按照預期執行。發現的漏洞
在 Mysk 發布的一段影片中,他解釋說,儘管 iOS 將裝置的真實 MAC 位址替換為每個網路的隨機生成位址,裝置的軟體還是在加入網路時傳送了包含真實 MAC 位址的 AirPlay 發現請求。這些真實 MAC 位址隨後被廣播給存取到網路上的每個其他裝置。“即使存取到 VPN,也無法阻止 iPhone 和 iPad 傳送 AirPlay 發現請求,蘋果的裝置這樣做是為了在網路中發現支援 AirPlay 功能的裝置。” Mysk 表示。Mysk 向 TechCrunch 確認,即使使用者啟用了“鎖定模式”(一種選擇性功能,旨在防範高度針對性的網路攻擊),iPhone 和 iPad 仍然持續傳送這些請求。Mysk 表示他在 7 月首次發現了這個問題,並於 7 月 25 日向蘋果提交了一份安全報告。Mysk 告訴 TechCrunch,與蘋果的溝通成為一個“重大障礙”,直到 10 月 3 日,才被通知有一個可測試的修復版本可用。蘋果在本週修復了該漏洞,追蹤編號為 CVE-2023-42846,並且針對可執行 iOS 16 的舊裝置發布了 iOS 17.1 和 iOS 16.7.2 版本。正如 Mysk 所指出的,執行 iOS 14 或 iOS 15 的裝置仍然存在安全漏洞。蘋果尚未公開該漏洞的嚴重程度,但 Mysk 指出,漏洞評級系統將其歸類為“高風險”。對隱私和安全的影響
這個漏洞的存在對使用者的隱私和資料安全構成了嚴重威脅。裝置的真實 MAC 位址被廣播給其他存取到同一網路的裝置,可能被用於追蹤裝置的活動和位置。這對使用者的隱私和安全造成了潛在的風險,特別是對那些需要保護其身份和活動的使用者來說。而且即使使用者啟用了蘋果提供的 Lockdown Mode 功能,仍然無法阻止這個漏洞的利用,這對於那些有高度定位性網路攻擊風險的使用者來說尤為危險。蘋果的應對和建議
蘋果已經發布了修復該漏洞的更新版本,但尚未解決執行 iOS 14 或 iOS 15 的裝置上的問題。這對於那些仍然執行較老版本 iOS 的使用者來說是一個好訊息,但對於那些使用最新版本 iOS 的使用者來說他們需要持續關注蘋果是否會在後續的更新中修復這個漏洞。 此外這個漏洞的發現也提醒著所有廠商和開發者在發布新功能的時候應該進行充分的測試和安全性評估。安全研究人員在發現這個漏洞後對蘋果提出了報告,然而報告的處理過程出現了一些困難和延遲。這種情況強調了開發者和廠商之間有效的溝通和反饋機制的重要性。只有透過及時合作和訊息交流,才能更好地提高產品和功能的安全性和隱私保護。結論
蘋果解決了其 iOS 軟體中的一個長期存在的漏洞,這個漏洞損害了使用者的隱私。這個漏洞使得裝置的真實 MAC 位址在網路中廣播給其他裝置,對使用者的隱私和安全造成了威脅。蘋果已經發布了修復該漏洞的更新版本,但仍然需要進一步關注,以確保該漏洞不會繼續影響使用者的隱私和安全。同時這個事件也提醒所有開發者和廠商在發布新功能時要進行充分的測試和安全性評估,並加固與安全研究人員之間的合作與溝通,以提高產品和功能的安全性和隱私保護水平。Privacy,Security,Technology-蘋果,修復,長年,破壞,iOS,隱私,漏洞
延伸閱讀
- 蘋果營收下滑 10%,iPhone 銷量表現不佳
- 蘋果因開發者批評,在歐盟核心科技費用上再加入更多例外規定
- 蘋果 2024 年 iPad 釋出會:一覽蘋果最新 iPad 新品
- 蘋果的 iPadOS 也將須遵守歐盟的《數位市場法案》
- 前美國國家安全域性駭客與前蘋果研究員合力成立新創公司,保護蘋果裝置
- WhatsApp 在 iOS 平臺全球推出 Passkeys 支援
- Spotify 向蘋果提交新更新,提供歐盟使用者的定價訊息
- 蘋果將於 5 月 7 日舉行下一場 iPad 發布會
- Mood.camera:一款 iOS 應用程式,感知就像使用復古模擬相機
- 蘋果因應國家命令,將 WhatsApp 和 Threads 從中國 App Store 下架
