În ciuda promisiunilor că adresa va fi ascunsă și înlocuită cu una privată, care era unică pentru fiecare SSID, se pare că dispozitivele Apple au continuat să arate adresa WiFi reală, scrie Ars Technica. 

Ca urmare, adresa reală a fost transmisă și celorlalte dispozitive care erau conectate la rețea.

Apple și-a încălcat promisiunea către utilizatorii iPhone

Problema e că aceste adrese MAC (media access control address) pot fi folosite pentru a urmări indivizii de la rețea la rețea, într-un mod similar cu urmărirea plăcuțelor de înmatriculare pentru o mașină. 

În 2013, un cercetător a demonstrat că un dispozitiv poate reține toate MAC-urile dispozitivelor cu care a fost conectat. Ideea e că distribuirea adresei prin cartier sau oraș poate duce și la crearea unui profil al utilizatorului. Printre detalii se numără și site-urile pe care le-au accesat și locațiile pe care le-au vizitat. Apple a promis că oferă o opțiune care poate rezolva această problemă, dar și-a încălcat promisiunea către utilizatorii iPhone. 

Din 2013 până acum, comunicațiile cu criptare HTTPS au devenit standardul. Așa că abilitatea indivizilor din aceeași rețea de a monitoriza traficul altor utilizatori nu e mai posibil. Chiar și așa, un MAC permanent oferă alte oportunități de urmărire, chiar și în contextul HTTPS. 

Un sistem care poate abuza acest lucru se numește CreepyDOL. Include senzori de dimensiuni mici, care pot fi montați în cafenele, săli sau orice alte spații publice. Cu aceștia, un utilizator poate fi urmărit prin oraș, pornind de la MAC. Sistemul poate să adune numeroase date personale, inclusiv programul zilnic, adrese de email, fotografii și parole. 

În 2020, Apple a lansat iOS 14, cu o nouă funcție. Aceasta promitea să ascundă MAC-urile WiFi atunci când dispozitivele erau conectate la o rețea. În schimb, dispozitivul ar fi arătat ceea ce Apple a numit „o adresă WiFi privată”. Aceasta ar fi fost diferită pentru fiecare SSID. De-a lungul anilor, Apple susține că ar fi îmbunătățit funcția, dar acum s-a aflat că firma și-a încălcat promisiunea către utilizatorii iPhone.  

Problema ar fi apărut încă de la lansarea iOS 14

Apple a lansat recent iOS 17.1. Printre numeroasele schimbări se numără și rezolvarea pentru o vulnerabilitate numită CVE-2023-42846. Aceasta împiedica funcționarea opțiunii pentru protecția datelor. 

Tommy Mysk a fost unul dintre cercetătorii Apple care au descoperit vulnerabilitatea, alături de Talal Haj Bakry. Mysk ar fi testat toate lansările de iOS, începând cu iOS 14. Această versiune a sistemului de operare a fost lansată în septembrie 2020. Mysk a descoperit că vulnerabilitatea exista de atunci. 

„De la început, această funcție a fost inutilă din cauza acestei vulnerabilități,” a declarat Mysk. „Nu am putut opri dispozitivele să trimită aceste cereri de descoperire, chiar și cu un VPN. Chiar și în Lockdown Mode.”

Din cauza acestei vulnerabilități, se pare că Apple și-a încălcat promisiunea către utilizatorii iPhone. 

Atunci când un iPhone se alătură unei rețele, începe un proces prin care sunt trimise mesaje către toate celelalte dispozitive din rețea. E necesar ca aceste mesaje să includă și un MAC. Chiar dacă „sursa” părea să fie o adresă WiFi privată, cu noua funcție, se pare că MAC-ul real tot putea fi descoperit. 

Mysk a creat și un video, în care explică problema. Se pare că Apple a reușit să o remedieze prin „înlăturarea codului vulnerabil”.