Apple introduceerde met de komst van iOS 14 een functie die het vaste wifi-adres (MAC-adres) van iPhones en iPads verbergt bij het verbinden met een draadloos netwerk. In plaats daarvan toonde het apparaat een willekeurig wifi-adres, dat voor elk netwerk verschilt. Op die manier zou je niet gevolgd kunnen worden van netwerk naar netwerk. Nu blijkt echter dat je MAC-adres toch verklapt werd.
Kwetsbaarheid opgelost in iOS 17.1-patch
De iOS 17.1-update die Apple afgelopen week uitbracht, bevat ook een patch die verschillende kwetsbaarheden oplost. Eén daarvan is de kwetsbaarheid CVE-2023-42846, die ervoor zorgde dat de privacyfunctie de afgelopen jaren niet naar behoren werkte. Beveiligingsonderzoekers Talal Haj Bakry en Tommy Mysk ontdekten de kwetsbaarheid, meldt Apple. Mysk ontdekte dat de fout terug te voeren is tot in iOS 14. “Vanaf het begin was deze functie nutteloos vanwege deze bug”, stelt hij. Zelfs met een VPN of in de isolatiemodus zou het MAC-adres niet verborgen worden.
MAC-adres werd alsnog verstuurd
Wanneer je iPhone of een ander apparaat verbinding maakt met een netwerk, wordt er informatie naar alle apparaten in het netwerk verzonden, waaronder het MAC-adres. Sinds iOS 14 moest het MAC-adres echter standaard verborgen worden en in plaats daarvan een plaatsvervanger tonen, die voor elk netwerk anders is. Andere apparaten zouden alleen de plaatsvervanger te zien krijgen. Nu blijkt echter dat het MAC-adres zelf ook werd meegestuurd naar aangesloten apparaten op het netwerk.
Voor meeste iPhone-gebruikers is de impact klein
Zoals aangegeven is deze bug opgelost in iOS 17.1. Met een MAC-adres kan in principe je activiteit van netwerk naar netwerk gevolgd worden, waardoor je locatie achterhaald kan worden. Je kan het vergelijken met het kenteken van je auto, waarmee gevolgd kan worden in welke steden je bent geweest. Voor de meeste iPhone- of iPad-gebruikers zijn de gevolgen van de kwetsbaarheid minimaal, maar voor personen voor wie een goede privacybeveiliging van (levens)belang is, kan de kwetsbaarheid verontrustend zijn.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Tweede beta van watchOS 11.5 voor ontwikkelaars verschenen (14-04)
- Apple viert 10 jaar Activiteit-app met speciale uitdaging (en een exclusieve fysieke pin) (14-04)
- 'Apple werkt aan de Vision Pro 2: dit wordt er aan verbeterd' (14-04)
- Gerucht: 'Apple Watch krijgt ondersteuning voor Apple Intelligence (maar eerst alleen op de Ultra)' (10-04)
- Gerucht: 'Ook watchOS krijgt een nieuw ontwerp geïnspireerd op visionOS' (10-04)
iOS 17
iOS 17 is de huidige software-update voor de iPhone, die in september 2023 uitgebracht is. De belangrijkste verbeteringen zijn de nieuwe interactieve widgets, vernieuwde Telefoon-app met aangepast belscherm, de vernieuwde Stand-by modus in horizontale weergave en meer. Lees hier over de beste iOS 17 functies, de leukste iOS 17 ontdekkingen, welke iPhones geschikt zijn voor iOS 17, onze iOS 17 review en meer.
Lekker dan… meer dan 3 jaar (!) deze -grove- bug in iOS.
Slechte zaak weer apple
Direct oplossen
Hebben ze gedaan, de fix zit in iOS 17.1
Toevallig had ik deze functie net uitgeschakeld voor een aantal van mijn devices voor specifieke netwerken, omdat hierdoor de MAC-filtering in de soep liep.
Blijkbaar deed het op de oppervlakte dus wel wat…
Wat ik niet snap is hoe het kan dat dit nooit goed gewerkt heeft. Wellicht een te simpele gedachte, maar als je een functie ontwikkelt die het MAC-adres moet verbergen, mag ik er toch van uitgaan dat dit getest wordt? Dat lijkt me een eenvoudig te testen iets: het oorspronkelijk of originele MAC-adres wordt wel of niet verstuurd. Of zie ik iets over het hoofd?
Vreemd dat dit niet eerder ontdekt is.