Apple, iPhone ve iPad yazılımında, ilk piyasaya sürülmesinden bu yana gizlilik özelliğini baltalayan, uzun yıllardır süren bir güvenlik açığını düzeltti.
2020’de Apple, iOS 14’te yakındaki kablosuz yönlendiricilerin ve erişim noktalarının bir Apple cihazının benzersiz MAC adresini toplamasını önleyecek yeni bir özelliği duyurdu.
MAC adreslerini izlemenin, yöneticilerin ağlarına bağlı her cihazı (örneğin, yetkisiz cihazlar) tanımlamasına izin vermek gibi meşru kullanımları olabilir. Ancak bir cihazın MAC adreslerini bilmek, o cihazı farklı ağlarda izlemek için kullanılabilir.
iOS özelliği, cihazın benzersiz MAC adresini paylaşmak yerine her ağ için farklı bir “özel adres” kullanacak.
Ancak gizlilik özelliğinin düzgün çalışmasını engelleyen bir kusur keşfeden güvenlik araştırmacıları Tommy Mysk ve Talal Haj Bakry’ye göre, bu özelliğin ilk kullanıma sunulduğundan bu yana amaçlandığı gibi çalışmadığı ortaya çıktı.
Bu hafta yayınlanan bir videoda Mysk, iOS’un cihazın gerçek MAC adresini her ağ için rastgele oluşturulmuş bir adresle değiştirdiğini, cihazın yazılımının ayrıca bir iPhone’un bir ağ bağlantısına katıldığında gönderdiği AirPlay keşif isteklerine gerçek MAC adresini de dahil ettiğini açıkladı. ağ. Bu gerçek MAC adresleri daha sonra ağdaki bağlı tüm cihazlara yayınlandı.
Mysk, “iPhone’ların ve iPad’lerin bir VPN’e bağlı olsalar bile AirPlay keşif istekleri göndermelerini engellemenin bir yolu yok” dedi. “Apple’ın cihazları bunu ağdaki AirPlay özellikli cihazları keşfetmek için yapıyor.”
Mysk, TechCrunch’a, kullanıcı yüksek düzeyde hedeflenen siber saldırılara karşı koruma sağlamak üzere tasarlanmış bir tercih özelliği olan Kilitleme Modu’nu etkinleştirdiğinde bile iPhone’ların ve iPad’lerin bu istekleri göndermeye devam ettiğini doğruladı.
Mysk, bu sorunu ilk olarak Temmuz ayında keşfettiğini ve 25 Temmuz’da Apple’a bir güvenlik raporu sunduğunu söyledi. Mysk, TechCrunch’a Apple ile iletişimin “büyük bir engel” sağladığını ve teknoloji devinin bu “basit” sorunu şu ana kadar tekrarlayamayacağını söyledi: 3 Ekim’de test edilecek bir düzeltmenin mevcut olduğu kendisine bildirildi.
Apple bu hafta şu şekilde takip edilen güvenlik açığını düzeltti: CVE-2023-42846iOS 16’yı çalıştırabilen eski cihazlar için iOS 17.1 ve iOS 16.7.2’nin piyasaya sürülmesiyle birlikte. Mysk’in belirttiği gibi, iOS 14 veya iOS 15 çalıştıran cihazlar savunmasız kalmaya devam ediyor.
Apple, hatanın ciddiyetini açıklamadı ancak Mysk, güvenlik açığı derecelendirme puanı sisteminin güvenlik açığını “yüksek” olarak sınıflandırdığını belirtiyor.
Apple sözcüsü Scott Radcliffe, TechCrunch’ın sorularını yanıtlamayı reddetti.
Apple bu hafta, bir saldırganın kimlik doğrulaması olmadan geçiş anahtarlarına erişmesine izin verebilecek bir kusur ve hassas verileri bir cihaza fiziksel erişimi olan bir bilgisayar korsanının eline geçirebilecek bir Siri hatası da dahil olmak üzere iOS 17.1’deki diğer bazı güvenlik açıklarını da düzeltti.