苹果上周发布了 iOS/17.1 和 10.1 更新，修复了三年前泄露的 iPad 和 Apple Watch MAC 位置漏洞。

更新和修补的漏洞 CVE-2023-42846 由两名研究人员 Talal Haj Bakry 和 Tommy Mysk 披露和报告。 苹果简单地将该漏洞描述为允许通过公共 Wi-Fi MAC 地址跟踪 iOS 设备。

该漏洞存在于 iOS 中的私有 Wi-Fi 地址 (Wi-Fi) 功能中。 根据苹果的解释，当设备连接到 Wi-Fi 网络时，它将公开一组独特的网络位置，称为媒体（MAC）位置。 但由于设备始终使用固定地址，这使得网络运营商和其他观察网络活动的人能够轻松掌握设备的长期活动和位置，从而使他们能够跟踪用户或创建用户配置文件 ()。 Wi-Fi 网络上的所有设备都会受到此影响。

苹果从iOS/14和7开始增加了一项新的安全功能，可以为每个Wi-Fi网络使用不同的MAC地址，称为私有Wi-Fi地址。 在此功能下，如果用户删除网络设置和内容，则下次连接到同一 Wi-Fi 网络时将拥有不同的私有 MAC 地址。 从iOS/15和8开始，如果iOS设备6个月没有连接Wi-Fi网络，下次连接网络时将会被替换为新地址。 如果用户设置不记住Wi-Fi网络，iOS设备不会记录该网络，除非两次网络连接的间隔时间小于2周。

然而，研究人员 Mysk 发现，自 iOS 14 推出以来，该功能就不再起作用。当连接到 Wi-Fi 网络时苹果系统mac地址在哪查苹果系统mac地址在哪查，它会发送广播呼叫来发现网络上的设备。 此时，iOS还会广播设备真实的Wi-Fi MAC地址。 真实MAC地址暴露后，iOS设备可能会被W​​i-Fi网络上的其他人跟踪。

此设备影响 XS、iPad Pro 12.9 英寸第二代、iPad Pro 10.5 英寸和 iPad Pro 11 英寸、iPad Air 3、iPad 6、iPad mini 5 及更高版本以及 Apple Watch 4 及更高版本。

苹果公司解释说，该漏洞是由一段代码错误引起的苹果系统mac地址在哪查，有缺陷的代码已通过更新操作系统被删除。

最新iOS更新中修补的漏洞还包括允许未经授权的用户访问（CVE-2023-42847）、读取隐藏相册（CVE-2023-42845）、使用Siri访问敏感用户数据以及允许应用程序访问18个安全漏洞包括联系数据 (CVE-2023-42857)。

本系统及软件只用于个人封装技术研究交流使用，不得用于商业用途，且本站不承担任何技术及版权问题，请在试用后24小时内删除!