IPhones stelden ondanks privacyfunctie unieke macadressen van gebruikers bloot

IPhones hebben jarenlang de unieke macadressen van gebruikers weergegeven op wifinetwerken. Apple introduceerde drie jaar geleden een feature die de macadressen zou verbergen, maar de apparaten gaven die toch weer. Macadressen kunnen gebruikt worden om gebruikers te tracken.

De bug, die wordt aangemerkt als CVE-2023-42846, werd ontdekt door beveiligingsonderzoekers Tommy Mysk en Talal Haj Bakry. Zij kwamen erachter dat Apples Private Wi-Fi Addresses-functie al sinds zijn release het echte macadres van iPhones weergeeft, terwijl die feature een willekeurig adres hoort te genereren voor ieder wifinetwerk waarmee de iPhone verbinding maakt.

Wanneer een iPhone verbinding maakt met een wifinetwerk, verstuurt de telefoon automatisch een multicastrequest om AirPlay-apparaten op dat netwerk te vinden. In dat verzoek hoort ook het macadres te staan. Het echte adres wordt op het eerste gezicht vervangen door een willekeurig gegenereerde variant, zoals de bedoeling is met Apples privacyfunctie. De twee onderzoekers ontdekten echter dat het echte macadres verderop in het multicastverzoek alsnog wordt weergegeven, samen met het nepadres. Mysk demonstreert de kwetsbaarheid in een YouTube-video, waarin hij via de WireShark-software het unieke macadres van een iPhone op zijn netwerk weet te onthullen.

Apple introduceerde zijn Private Wi-Fi Adresses-functie in 2020 als onderdeel van iOS 14. De feature is bedoeld om het macadres van een iPhone te verbergen. In plaats daarvan wordt een willekeurig adres gegenereerd voor ieder wifinetwerk waarmee de iPhone verbonden is. Door het macadres voor ieder netwerk te veranderen, moet worden voorkomen dat netwerkbeheerders of andere observanten de gebruiker kunnen tracken of profileren, zo luidt de uitleg van Apple.

Het beveiligingsprobleem werd eind juli gedeeld met Apple. Apple heeft de bug inmiddels gepatcht als onderdeel van iOS 17.1, dat afgelopen woensdag uitkwam.

Door Daan van Monsjou

Nieuwsredacteur

27-10-2023 • 15:33

100

Submitter: wildhagen

Lees meer

Reacties (100)

Sorteer op:

Weergave:

Als ik het goed begrijp, was dit dus alleen een issue als je daadwerkelijk was aangemeld bij een wifi-netwerk?

Want het mac zat verscholen in een multicast-pakketje, maar je kunt pas multicasten als je een ip hebt, dus als je daadwerkelijk bent aangemeld bij een wifi-netwerk.

Als je gewoon in een winkel loopt zonder op hun gasten-wifi aan te melden, was er dus niks aan de hand, volgens mij. (Maar ik laat me graag verbeteren door iemand die meer van multicast weet dan ik.)
Dit tracen uit CVE-2023-42846 gebeurd door passive wifi tracking en kan alleen gedaan worden door een beheerder of bad actor die op het zelfde netwerk zit. Jij hebt het dus goed begrepen, en ik vroeg me het zelfde af. Ik dacht eerst dat dit mac gewoon met een probe request verzonden werd. Dat zou dan wel heel bijzonder zijn dat dat nu pas ontdekt wordt.

Het gaat hier om mDNS (multicast dns query) dat onderdeel is van het apple bonjour protocol. Apple devices weten elkaar door deze multicast te vinden. Maar daarvoor moeten ze idd zoals jij zegt op een WLAN eerst een IP hebben gekregen van het DHCP.

Wat mij het meest verbaast is dat dit al sinds IOS 14 uit 2021 zo is. Dan bedenk ik me dat er duizenden netwerkbeheerders zijn die Wireshark gebruiken. Er is zelfs een periodieke conferentie van Wireshark fanaten. Toevallig over 3 dagen weer een Sharkfest in Brussel. Ik vind het bijzonder dat er in 2 jaar tijd geen andere netwerknerd de optie data van de additional records van een mDNS heeft opengeklapt en naar de mac adressen heeft gekeken. Daarom heb ik zelf vaak het packet diagram pane open in Wireshark, dat maakt de (IOS) lagen beter inzichtelijk. Maar goed, hindsight is 20/20 zeggen ze wel eens.

https://sharkfest.wireshark.org/

[Reactie gewijzigd door nullbyte op 22 juli 2024 19:20]

Apple en privacy. Het is denk ik een mooie verkooptechniek maar nergens echt op gebaseerd of wel?
Net zo privacy als Google, die nu privacy toevoegd aan haar producten?

Als Apple zo erg om privacy bekommerde hadden ze toch wel bijvoorbeeld voor een andere zoekmachine gekozen? nieuws: 'Google betaalde 18 miljard dollar voor zoekmachinedeal met Apple in ...
Of dit:
https://inteltechniques.c...8/macos-telemetry-update/

[Reactie gewijzigd door dutchnltweaker op 22 juli 2024 18:19]

Ik vertrouw Apple nog altijd meer dan Google.
Ja dat kan natuurlijk, maar waarop is dat gebaseerd? Gevoel of daadwerkelijke kennis dat alles zeker goed dicht ziten niet bespied wordt?
De core business van Google is data verzamelen om relevante advertenties te tonen. Apple heeft een heel ander verdienmodel.
Apple heeft ook een advertentie platform, en hun veranderingen in de naam van privacy hebben vooral geleid tot een enorme stijging van apple's winst met hun eigen advertenties omdat ze een monopoly positie voor zichzelf hebben gecreëerd.

Zie: https://proton.me/blog/apple-ad-company
of: https://techcrunch.com/20...ds-business-report-finds/
Apple heeft ook een advertentie platform, en hun veranderingen in de naam van privacy hebben vooral geleid tot een enorme stijging van apple's winst met hun eigen advertenties omdat ze een monopoly positie voor zichzelf hebben gecreëerd.

Zie: https://proton.me/blog/apple-ad-company
of: https://techcrunch.com/20...ds-business-report-finds/
Je poste precies dezelfde reactie 4 minuten voor deze reactie ook al maar dat ze een “advertentie platform” hebben betekend natuurlijk niet automatisch dat ze hetzelfde bezig zijn als Google. Bij google is de core business simpelweg heel anders en eentje waar ik mij persoonlijk minder comfortabel bij voel.
Maar Apple maakt van Google wel de standaard zoekmachine, dus helpt Google, tegen betaling, om jou gegevens alsnog te verzamelen. En dat in het kader van nog meer winst maken voor een bedrijf wat niet bepaald armlastig is.
Dus je kunt je er goed bij voelen, dat is prima, en het zijn fijne producten in gebruik, maar feitelijk is dat gevoel onterecht. Alle grote tech giganten zijn Evil.
Maar Apple maakt van Google wel de standaard zoekmachine, dus helpt Google, tegen betaling, om jou gegevens alsnog te verzamelen. En dat in het kader van nog meer winst maken voor een bedrijf wat niet bepaald armlastig is.
Dus je kunt je er goed bij voelen, dat is prima, en het zijn fijne producten in gebruik, maar feitelijk is dat gevoel onterecht. Alle grote tech giganten zijn Evil.
Het is een dunne lijn tussen wat de gebruikers willen en wat de gebruikers niet willen.

Google als zoek machine zit ik persoonlijk niet op te wachten maar dat neemt niet weg dat iOS+Google voor alleen zoeken beter is dan Google voor alles.
Het begint bij het verdienmodel. Bij Google zijn de gebruikers het product voor hun adverteerders. Dat is waar ze aan verdienen. Apple verdient aan de producten en services die ze verkopen. Money talks.
Het begint bij het verdienmodel. Bij Google zijn de gebruikers het product voor hun adverteerders. Dat is waar ze aan verdienen. Apple verdient aan de producten en services die ze verkopen. Money talks.
Meanwhile :+
nieuws: 'Google betaalde 18 miljard dollar voor zoekmachinedeal met Apple in ...
Waarbij aangetekend moet worden dat Google toen ook zeker de beste zoekmachine had waar Apple niet omheen kon.
Ja, door miljarden te investeren en op termijn minstens even goed te worden. Dat is waar Google voor betaalde: om Apple uit hun markt te houden. Niet dat Apple per se Google opdringt aan z'n klanten.
Nee, maar als je pretendeert om privacy te geven :+
Dan mag je geen geld aannemen van een zoekmachine die a.) het merendeel van de gebruikers eist en b.) users terugzetten daarop als het ergens anders op wordt gezet? :+ En niet te vergeten dat de opties meteen openstaan en DuckDuckGo (al is dat ook niet heilig.) netjes als optie wordt gesuggereerd.

Het is een beetje onzinnig om te pretenderen dat er niets om privacy gegeven wordt als je je gebruikers niet dwingt om iets anders te gebruiken en omdat ze zaken doen met een ander bedrijf dat een stuk minder om privacy geeft. Ook een beetje dooddoener eigenlijk die gebruikt wordt om de rest weg te moffelen. Ik bedoel, zo kunnen we ook over iets volstrekt irrelevants beginnen als hoe men apps van META op de App Store toelaat. (Om niet te spreken over een aantal Chinese zaken.) Want tja, dat levert ook geld op - maarja, dat zijn niet altijd de meest privacyvriendelijke apps. Toch willen gebruikers het hebben en kan Apple eraan verdienen. Win-win en je bent gek als je het als Apple zijnde niet zou doen; zeker niet als de gebruikers het wel willen kunnen gebruiken. Dat doet dan ook allemaal helemaal niets af aan wat Apple wél allemaal doet voor privacy en beveiliging en daar in het kernontwerp fors rekening mee houdt; zoals bijvoorbeeld ook de functie dat datzelfde META het een stuk moeilijker heeft gemaakt om data te vergaren door inter-app tracking onmogelijk te maken by default en tal van andere functies.

Apple is niet heilig en waterdicht als het op privacy aankomt, maar één voorbeeld geven en dan de suggestie wekken dat men dus helemaal niets aan privacy doet of daar niets om geeft is, met alle respect, behoorlijk kortzichtig. Maar goed, het is lekker makkelijk zeiken natuurlijk. :)

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 19:20]

Correct, dan mag dat inderdaad niet. Je kunt niet van de daken schreeuwen dat je om Privacy geeft en dan zo veel geld aannemen van zo'n privacy onvriendelijke zoekgigant. Het maakt dan niet uit of de opties voor andere keuzes openstaan, jij hebt 18 miljard aangenomen voor het verkopen van je ziel en de data van de gebruikers die jou de hemel inprijzen voor je privacy.

Sneu.

Edit: Kunnen we aub volwassen worden hier en het modereersysteem gebruiken waar het voor bedoelt is? Jullie lijken wel een stel Reddit kleuters hier.

[Reactie gewijzigd door Gubbel op 22 juli 2024 19:20]

Als je niet begrijpt hoe dat wel zo is, dan heeft deze discussie geen zin

[Reactie gewijzigd door Gubbel op 22 juli 2024 19:20]

Is het pretenderen, of is het gewoon slim om Google je 18 miljard te laten betalen om een default instelling te zetten die het overgrote merendeel (waarschijnlijk meer dan 90%) van je gebruikers zelf óók zou instellen?

[Reactie gewijzigd door CyBeR op 22 juli 2024 19:20]

En Apple het niet kon weigeren :+
Maar ja, had je liever Bing in Safari gehad dan? :+
Maar dat kan dus al;) je kunt netjes de zoekmachine aanpassen als je dat wil. En ja ook Bing als dat je ding is.

[Reactie gewijzigd door WouterL op 22 juli 2024 19:20]

Maar wel alleen door Apple geselecteerde zoekmachines.
Je hoeft niet de addressbar search te gebruiken, je kunt ook een favoriet aanleggen voor je search engine.
Dat kan inderdaad. En dat is onhandig en vergeet je makkelijk. Dat is hoogstens een workaround, geen oplossing.
Als er fabriekswege nog niets ingesteld zou staan – de meest objectieve situatie – zou je ook zelf iets in moeten stellen, dus moeite moeten doen. Als eenmalig een startpagina instellen voor je zoekmachine en uitzetten van de seach bar al 'onhandig' is, zie ik het somber in voor je privacy.

Hoe meer privacy je wil, hoe meer moeite het kost. Voor de makers van de software en ook van jou als gebruiker. Dat kun je niet alleen aan de makers van software verwijten. Het is het totaalplaatje van alles wat je met je apparaten doet, wat bepaalt hoe veilig je data is.

Uit onderzoeken blijkt keer op keer dat, ondanks alle voorlichting en aandacht in de media, de meeste mensen steeds wachtwoorden en mailadres hergebruiken, onnodig risico's nemen met inloggen op vreemde wifi-netwerken, klikken op links in mail 'van de bank' etc.

99% Van de gebruikers zijn lui als het aankomt op veilig werken en preventie van problemen. Dat levert het gros van de problemen op, niet slechte software. Koop een boek over hacken en het gaat voor minimaal 95% over 'social engineering' en dat gaat met de jaren steeds meer naar 99%.
De reden dat het onhandig is, en hoogstens een workaround, is dat ik geen homepage ingesteld wil hebben. Ik begin op al mijn browsers met een pagina met mijn meest bezochte sites. Dat doen zowel Safari als Firefox heel fijn. Startpage.com staat niet in de meest bezochte pagina's. Ik gebruik nl. vaker geen zoekmachine dan wel. Als ik ga zoeken, moet ik er aan denken dat ik startpage.com intik, en niet de balk in de browser gebruik.
Kortom, door een homepage in te stellen, raak ik andere functionaliteit kwijt. Dat betekent dat het geen oplossing is, maar een workaround. Ik mag vervolgens de afweging maken welke functionaliteit ik belangrijker vind.

Ik kan trouwens ook al een tijd in Firefox niet meer vinden hoe ik de default zoekmachine op startpage.com kan instellen. Ook daar is de enige optie deze workaround, om een homepage in te stellen.

Qua privacy, dat je er zoveel moeite voor moet doen is ook een probleem. En dat dingen niet altijd werken als je je best doet is ook een probleem.
Zeker, maar het moet wel heel exotisch worden wil je smaak er niet tussen zitten.
Exotisch misschien. Maar het maakt het voor nieuwe spelers wel nog moeilijker.
Nieuwe speler zijn op de zoekmachine wereld is zeker enorm lastig, maar dat heeft denk ik weinig met de beperkte keuze van Apple te maken. We moeten wel beseffen dat op de wereld markt qua smartphones Apple nog steeds relatief weinig marktaandeel heeft.
Mijn voorkeur qua zoekmachine is startpage.com. Die vind ik niet heel exotisch. Maar die kan ik niet toevoegen aan Safari.
En dat had ook prima gekund zonder die 18 miljard aan te nemen.
Het is net een bedrijf dat Apple ;)
[edit] Zoals hieronder aangevuld dus, VRIJE keuze, dus niet uit het door Apple voorgeselecteerde dus gesponsorde lijstje.
Jij hebt er meerdere keren over geklaagd, dat is genoeg reden om aanpassingen te doen..

Wat bedoel je met dat Bing rotzooi van MSN meezeult? Bing is een zoekmachine, MSN is onder andere de mailservice van Microsoft. Ook zit het in Windows ingebouwd (Bing ook).

Persoonlijk vind ik Bing beter, ik krijg meer relevante resultaten en niet zo enorm veel gesponsorde resultaten en andere ads als bij Google.
Wat bedoel je met dat Bing rotzooi van MSN meezeult? Bing is een zoekmachine, MSN is onder andere de mailservice van Microsoft. Ook zit het in Windows ingebouwd (Bing ook).
Dat is niet echt fijn… erg veel mensen haten het heel erg.
Want het leidt heel erg af, dat had ik ook gemerkt…
En dus aan bedrijven die hen betalen om voorrang te krijgen tov de concurrentie. Dat dat een partij is die privacy niet erg hoog in het vaandel heeft staan (Google) vergeten we dan maar even voor het gemak?
Het begint bij het verdienmodel. Bij Google zijn de gebruikers het product voor hun adverteerders. Dat is waar ze aan verdienen. Apple verdient aan de producten en services die ze verkopen. Money talks.
Dat ben ik met je eens, maar dat betekend niet gelijk dat de ander opeens beter is dan de ander wegens hun business model. Ms verdient ook Geld Met hun Services, maar qua privacy laten ze ook wat vallen.
Apple heeft ook een advertentie platform, en hun veranderingen in de naam van privacy hebben vooral geleid tot een enorme stijging van apple's winst met hun eigen advertenties omdat ze een monopoly positie voor zichzelf hebben gecreëerd.

Zie: https://proton.me/blog/apple-ad-company
of: https://techcrunch.com/20...ds-business-report-finds/

Laat ik voorop stellen: Ik ben voor een platform dat de privacy van z'n klanten voor op stelt. Maar apple lijkt zichzelf vooral goed te marketen als 'privacy' bedrijf, terwijl ze op de achtergrond gewoon hetzelfde doen.

[Reactie gewijzigd door Raphire op 22 juli 2024 19:20]

Laatste keer dat ik de moeite nam om na te gaan of een dergelijke uitspraak klopte, bleek het advertentienetwerk van Apple zich te beperkten tot de iOS App Store en freemium apps. Onvergelijkbaar met Google / Android doet of wat Microsoft / Bing probeert.
Dat is iets what iphone gebruikers elkaar wijs maken maar die google deal heeft het toch anders laten zien.
Android gebruiker is het product bij Apple is het iphone gebruikers zijn de geld zakken die zij leeg kloppen.
Resultaten alle bij zijn blij..
Trouwens als privacy belangrijk was dan was bluetooth uitzetten ook echt uitzetten,zelfde geld voor wifi.
Trouwens als privacy belangrijk was dan was bluetooth uitzetten ook echt uitzetten,zelfde geld voor wifi.
Uh ja, dat is precies wat de knop om het uit te zetten dan ook doet: echt uitzetten. :+
Er was dus een tijd dat wanneer je bluetooth uitzette via het control center op een IOS device het op de achtergrond gewoon bleef draaien, zelfde voor WiFi. Toevallig weet ik dit omdat er toendertijd tweaks rondgingen voor jailbroken devices die de functies wel naar behoren liet werken.

Volgensmij was het zelfs zo dat als je het uitzette via het settings menu het vanzelf weer aansprong na een bepaalde tijd.

Blijkbaar is het nogsteeds zo:
https://www.reddit.com?ut...&utm_term=1&utm_content=2
Maar dat is dan ook geen aan/uitknop. Staat netjes in de uitleg/handleiding en wanneer je die knop indrukt verschijnt een melding dat het enkel tijdelijk loskoppelt.

Er zit een verschil tussen de aan/uitknop en de verbindingstoggle die jij benoemt. De een zet wifi/bluetooth geheel uit, de ander verbreekt alle verbindingen maar laat de chip ingeschakeld om te zorgen dat functies zoals AirDrop en Universal Clipboard blijven functioneren.

De aan/uitknop zit in de instellingen en die schakelt de chip echt geheel uit. Hier kan je ook even snel bijkomen als de loskoppelknop in Control Center, namelijk door een long-press op je instellingen-icoon te geven.
Android gebruiker is het product bij Apple is het iphone gebruikers zijn de geld zakken die zij leeg kloppen.
Resultaten alle bij zijn blij..
Lees je bericht anders eens door voor je op de plaats knop drukt, deze zin is echt onwijs onduidelijk.
Krijg ik mooie software voor terug, dus?
Waarom denk je dat Apple niet geld verdiend met het verkopen van advertenties?
Maak je maar geen illusies; bij Apple zijn de gebruikers evengoed producten.
Poneer je alleen deze stelling, of kom je ook nog met bewijs die dat ondersteunt?
Je zou het dan ook zo kunnen stellen dat Google dus erg afhankelijk is van het principe dat ze gegevens moeten verzamelen om te verdienen. In dat geval zouden ze er wel eens heel erg goed mee om kunnen gaan, anders raken ze hun brood kwijt.
Googles omzet komt voor 85% uit advertenties, bij Apple is dat nog geen 1%. Beide verkopen ze advertenties die worden voorgeschoteld op basis van een gebruikers profiel, bij de ene is het echter de core business en bij de ander is het een relatief kleine bijkomstigheid. Meta zit in hetzelfde schuitje als Google... Zelfs MS verkoopt meer ads dan Apple en dat is ongeveer 5% van hun inkomsten.

Dat zegt allemaal natuurlijk inherent weinig over privacy, maar het geeft wel duidelijk weer wat bij wie en in welke mate het 'product' is...
Maar Apple wil de advertentie inkomsten fors gaan uitbreiden.
Bron: https://www.emerce.nl/nie...ntieinkomsten-verdubbelen
Privacy geldt natuurlijk alleen voor zover het op andere partijen betrekking heeft ;)
1 voorbeeld van privacy waarborging is dat bijvoorbeeld de gegevens van jouw Apple ID en dus ook alle foto's etc die je (als je daarvoor gekozen hebt) bewaart in iCloud niet toegankelijk is voor Apple. Ze hebben geen backdoor ingebouwd en weigeren dat ook te doen. (zie verhaal met de FBI vorig jaar)
Moet je wel zelf je key bewaren, maar het kan inderdaad. :)
Ik vertrouw ze beiden niet; mooi opgelost ;). De enige Google service die ik nog gebruik is mijn 20 jaar oude gmail die ik gebruik voor spammail.
Basis les nr 1 Big Tech en privacy : Google, Meta, Apple en Microsoft zijn allemaal niet te vertrouwen :+
Oh 100%..
Zeker omdat Apple veel meer maatregelen neemt qua veiligheid.
Neem bijvoorbeeld de Appstore, voordat een App daar op komt wordt deze eerst grondig gecheckt of er geen malware ingebakken zit. De kans dat je een app download die bijvoorbeeld gegevens steelt is daardoor vele malen kleiner dan bij Google waar vaak alleen controle wordt gedaan nadat iemand een app gerapporteerd heeft..
Ik vertrouw geen enkel miljarden bedrijf allemaal oplichters en uit op 1 ding jou zuur verdiende geld.
Ik vertrouw Apple nog altijd meer dan Google.
Cognitieve dissonantie.
Apple zet alles open van Chinese burgers op verzoek van China.
Iedereen kan fouten maken, het feit dat dit meerdere jaren onder de radar is gebleven toont ook aan dat je vrij diep moet gaan graven om het probleem te ontdekken. Is het een probleem? Ja. Maar ik zie grotere problemen op andere platformen.
Dat het onder de radar is gebleven betekent niet dat je diep moet graven. Het is gewoon nog niet snel iemand opgevallen. Als je in het filmpje ziet dat is het echte mac-adres gewoon makkelijk af te lezen met een simpele wireshark
Ik denk dat het trackers en andere digitale stalkers wel degelijk is opgevallen, maar zij hielden natuurlijk gewoon hun mond. Ik ben benieuwd hoeveel dashboards binnenkort ineens totale chaos worden doordat dit trucje niet meer werkt na een update.

Eigenlijk wel jammer, je zou zeggen dat zoiets toevallig wel een keer voorbij zou komen tijdens het bekijken van een packet trace. Hoe dan ook mooi dat het is opgelost natuurlijk.
Iedereen kan fouten maken, klopt.

Maar de vraag is of Apple dit snek zou oplossen als ze dit wisten, nog gisteren stond er een artikel hier waaruit bleek dat Apple ruim 1 jaar van een issue wist, maar niks mee deed.

https://tweakers.net/nieu...oorden-kan-vrijgeven.html
De onderzoekers hebben Apple naar eigen zeggen een jaar geleden al op de hoogte gesteld van het bestaan van het lek, maar tot dusver is deze nog niet gefixt.
Apple zal niet de enige zijn die dit soort fouten maakt, maar het is best erg als een bedrijf met zoveel geld en mogelijkheden zich liever op functionaliteit focust, dan zo'n lek of bugs (notificatie centrum heeft random issues sinds iOS16, nog steeds heeft Apple dat niet gefixed)

Zollotech heeft regelmatig over de notificatie centrum bug gehad

[Reactie gewijzigd door Mizgala28 op 22 juli 2024 19:20]

Dit is eigenlijk te lachwekkend voor woorden. Dit is de zoveelste "vulnerability" die als nieuwe ontdekking wordt gebracht, maar al lang gemeengoed is. Ik verdenk Tommy Mysk en Talal Haj Bakry ervan dit op Reddit tegen te zijn gekomen en vervolgens de CVE's hebben doorzocht of iemand ooit al de moeite heeft genomen het te melden. Ik was begin 2021 op een security summit waarop dit al gedemonstreerd werd.

Sowieso vraag ik mij af of er tegenwoordig nog fatsoenlijke white hat hackers/security researchers zijn. De WinRAR exploit heb ik ook al verschillende keren voorbij zien komen (het dark web werd ermee overspoeld), lang voordat de CVE hiervoor is opgevoerd.

Tegenwoordig worden vulnerabilities pas opgespoord/ontdekt als ze al ruimschoots worden geëxploiteerd. Blijkbaar loont het financieel steeds meer om beveiligingslekken niet te melden maar te verkopen aan de hoogste bieder.
Eens, maar als het een ander os of bedrijf is wordt er wel sneller moord en brand geschreeuwd.
Apple heeft goede privacy voor de meeste mensen.

Maar wie echte privacy wil, Android geeft meer vrijheid dus een custom ROM zonder Google diensten zou voor dat soort mensen een optie kunnen zijn.
Nou ik deel je mening en geloof niet dat dit een onbedoeld foutje is.
Wel bijzonder dat dit zo laat pas naar buiten komt eigenlijk.
Dit is geen enorm beveiligingslek. De eigenaar van een individueel netwerk kan hier niet meer of minder door. (je moet immers nou eenmaal een MAC delen voor een verbinding)

Het privacy (niet security) probleem zit hem in het feit dat je als unieke gebruiker over meerdere netwerken te tracken bent. (door de netwerkbeheerder, mind you, niet iemand anders)

Maar zijn er niet zoveel die standaard de multicast loggen.

De kans dat dit “uitgebuit” is, is klein, en de impact van de uitbuiting is nog kleiner.

Het is wel een wat suffe fout. Maar gezien dat het voor deze feature gewoon altijd al een en hetzelfde MAC-adres was geeft aan dat het al geen dramatisch problematisch issue is.

[Reactie gewijzigd door Keypunchie op 22 juli 2024 19:20]

De issue is privacy van de netwerkbeheerder en die blijkt in veel gevallen niet te vertrouwen. Wifi tracking in winkels of bij reclameborden is echt wel een ding. Als persoon heb je daar weinig last van maar het is toch enigszins vreemd dat er een 'spookprofiel' wordt opgebouwd wat op enig moment aan een persoon te koppelen is.
Veruit de meeste fabrikanten nemen niet eens de moeite om dit Mac adressen af te schermen. Daar ben je sowieso de sjaak, dus je bent niet slechter af bij Apple, maar helaas ook niet beter zoals nu blijkt.
Wel beter, want ik betwijfel dat die winkel-netwerkbeheerders in staat zijn geweest om simultaan massaal dit lek uit te buiten, maar het ook jaren onder de pet te houden.
Toch wel beter af, want:

Apple geeft je op elke WIFI netwerk standaard (tenzij je het per netwerk uitzet) een ander MAC adres (zojuist gezien op mijn eigen netwerken). Dus die paar netwerkbeheerders, die jou voorzien van WIFI connecties op meerdere WIFI netwerken, zien in hun logs verschillende MAC adressen en zien dus niet dat de verschillende MAC adressen allemaal van jou zijn. Ze kunnen je dus niet van het ene netwerk naar het andere volgen.

Dat Apple per ongeluk (laten we daar maar vanuit gaan) je orignele MAC adres ergens in de handshake blootstelde, zorgt er niet voor dat deze gebruikt wordt op de diverse WIFI netwerken waarop je inlogt en dus wordt deze ook niet gevolgd, want ze delen een IP uit aan het virtuele MAC adres dat je iPhone adverteert tijdens de handshake.

Nu bekend is dat je toch je echte MAC adres blootstelt tijdens de handshake, wil nog niet zeggen dat netwerkbeheerders deze ook zomaar kunnen loggen en volgen. Daarvoor zullen ze toegang tot de DHCP server configuratie moeten hebben en logging gaan aanpassen, lijkt mij. En het lijkt me dat Apple dit snel gaat fixen. Dus als een overijverige netwerkbeheerder dit nu toch gaat misbruiken, is zijn moeite slechts van korte duur geweest.
Supermarkten en publieke hotspots kunnen dus wel nog steeds zien waar jij in het gebouw wandelt want je origineel mac adres was zichtbaar... of het erg is ? Denk het niet, maar kom, 't is toch wel een foutje... Voor diplomaten, HVT's enz, een groter probleem...
Ze kunnen het theoretisch, maar het lijkt me onwaarschijnlijk dat ze het ook daadwerkelijk deden, want dan was dit lek echt al veel eerder bekend geworden.

En ze gaan het ook niet nu even snel doen voor de ongepatchte iphones.
WiFi tracking is echt niets nieuws en gebeurt al jaren. Niet door "winkel systeembeheerders", maar wel door marketingclubs die hiervoor die WiFi en Bluetooth scanners optuigen. Paar jaar geleden was daar nog 'gedoe mee' omdat die scanners dan bv. in reclamezuilen waren verstopt in winkelstraten.

Het lijkt mij heel onwaarschijnlijk dat iemand die ooit als beroep heeft gehad om zo goed mogelijk device tracking te implementeren niet vroeg of laat een keer tegen deze goudmijn is aangelopen. Deze discovery packets zijn unencrypted, vaak broadcast (multicast zonder IGMP snooping) en dus met elke network packet sniffer zo open en bloot te zien.

Vervolgens wil je dat natuurlijk zo lang mogelijk stil houden, want de kennis van zo'n bug geeft je een aardige voorsprong op de concurrentie. De marketingclub die dit had gezien heeft veel meer inzicht dan een andere club die 't niet heeft gespot.
Niet alleen door de netwerkbeheerder. Dat AirPlay discovery gedoe is multicast, dat zal meestal worden gebroadcast over het netwerk (zonder IGMP snooping) of beperkt zijn tot apparaten die zich aangemeld hebben voor die multicast groep (Met IGMP snooping)

Het enige dat een kwaadwillend persoon dus hoeft te doen is een client in het WiFi netwerk hangen dat zichzelf inschrijft op dat multicast adres. Vervolgens krijgt die client alle AirPlay zoekpackets binnen.

Het probleem hiermee is dat een reclamehut in bv. de McDonalds kan kijken of gebruikers die bij de Mac eet ook langs gaat bij de KFC en vice versa. Of een BCC klant ook naar de Mediamarkt gaat.

Met een beetje meer 'BigData' kun je zelfs nog enigzins accuraat een MAC adres koppelen aan bijvoorbeeld een tijd van betaling, en daarmee een rekeningnummer. Iemand die in een Mac binnenstapt zal waarschijnlijk binnen 5 minuten een pintransactie doen.
Als het goed is kan dat niet, want de meeste gasten-wifi-netwerken zijn geconfigureerd om onderling verkeer tussen clients niet toe te laten.

Dus een McDonald’s-beheerder kan als het goed is niet met een laptop bij KFC gaan lopen sniffen.
stel dat dit een bedoeld foutje is, wat winnen ze er mee of welk voordeel halen ze hier mee ?
Dat het pas naar buiten komt nadat Apple het gepatcht heeft lijkt me toch vrij gebruikelijk? Dat is toch de hele insteek van wat deze 'ethische hackers/beveiligingsonderzoekers doen. Ze vinden een vulnerability, rapporteren deze aan de fabrikant en geven de fabrikant de tijd om het lek te dichten en vervolgens publishen ze hun rapport.

Daar is toch ook iedereen het meest mee geholpen lijkt me, je weet natuurlijk nooit hoeveel anderen dit hebben uitgevogeld en misbruikt hebben maar als ze het direct aan de grote klok hangen word de kans hierop natuurlijk een stuk groter.
Apple en privacy, yeah right. Het is zo een mooie verkooptechniek maar nergens echt op gebaseerd of wel?
Net zo privacy als Google, die nu privacy toevoegd aan haar producten?
Dit is gewoon weg niet waar. Van alle techgiganten is Apple toch wel de netste als het op privacy aangaat. Zie bijvoorbeeld https://9to5mac.com/2022/...ata-than-other-companies/
[...]


Dit is gewoon weg niet waar. Van alle techgiganten is Apple toch wel de netste als het op privacy aangaat. Zie bijvoorbeeld https://9to5mac.com/2022/...ata-than-other-companies/
Ken de website, maar een website gericht op Apple nieuws en reviews die schrijft over de privacy beleid van Apple. Vind ik niet echt onafhankelijk.
Er valt tenminste nog wat te schrijven over het privacybeleid van Apple.
Veel andere fabrikanten zijn gewoon stil als het graf en verkopen achter de schermen al je data.
De vraag is of ze niet meer publiek zouden trekken en dus meer zouden verdienen als ze zo'n artikel op zo'n manier zouden schrijven, dat het mensen richting de anti-virus-software advertentie jaagt. Daarnaast: hoeveel bezoekers van 9to5mac of macrumors moet je ergens van overtuigen? Die mensen hebben al een bovengemiddelde persoonlijke interesse in een Apple-product, anders ga je je daar niet in verdiepen.

Daarbij kan het aan mij liggen, maar andere websites komen ook niet bepaald onafhankelijk over, als bijna iedereen een Android toestel blijkt te hebben en er gniffelend onderling grapjes gemaakt worden over het 'andere kamp' bij elke podcast. Een doorsnee computerblad/site is gericht op het grootste platform en dat is altijd Windows en Android. De daarin gespecialiseerde journalisten blijken vaak bar slecht op de hoogte van macOS / iOS. Niet vreemd dat je dan niches krijgt.

Àls er bij zo'n blad of site al een journalistieke Linux-kenner betrokken is, is die meestal juist weer helemaal lyrisch over dat platform.
Microsoft staat er niet bij, dus je kunt niet zeggen of Apple het beter doet dan de rest
Microsoft staat er niet bij, dus je kunt niet zeggen of Apple het beter doet dan de rest
Daarvoor hoeft Microsoft er ook niet bij te staan hoor :+
die kan je niet serieus nemen, dat is net als je een 9to5google.com website opricht en alleen posts over google producten en diensten zet.

Die kijken niet objectief maar subjectief.
die kan je niet serieus nemen, dat is net als je een 9to5google.com website opricht en alleen posts over google producten en diensten zet.

Die kijken niet objectief maar subjectief.
Kijkt u eens: https://9to5google.com/
Basis hierachter is een bedrijf wat je prima serieus kunt nemen overigens, schrijven op al de outlets prima onafhankelijk.
Om eerlijk te zijn had ik niet verwacht dat er een website als dat bestond.
Ze verzamelen beiden data, de een wellicht meer dan de ander. Maar dat is heel iets anders dan waar het dit nieuwsbericht over gaat. Hierbij gaat het om de beveiliging van de data, dat is heel iets anders.
Wat is privacy? Apple is daadwerkelijk goed met jouw gegevens tot op zekere hoogte te beschermen tegen derden, Apple zelf echter neemt enorm veel data van je, op sommige vlakken zelfs meer dan Google. Verschil is natuurlijk waar die data heen gaat en hoe ze er mee omgaan. Als je echt je privacy wilt zonder met een Nokia te leven is Android toch wel de betere keuze als je bijvoorbeeld de Graphene of Calyx route neemt.
Dit specifieke geval is een bug. ((Ik denk dat we het daar wel over eens zijn))

Privacy blijft een ding. Maar wat een ding is, is waar we het precies over hebben. Is een MAC-adres delen via AirDrop een probleem?
Misschien wel. Als je het publiek doet. Misschien niet als je het een met een bekende doet.

Om een aantal voorbeelden te pakken. Op iOS ziet een app niet welke andere apps er geïnstalleerd zijn. Niet een hele lijst in elk geval. Op Android kan iedere app dat opvragen. Je hebt niet de optie om dat tegen te gaan.

Het feit dat Google (een van de meest verwerpelijke bedrijven op dit moment) miljarden betaald aan Apple wil niet zeggen dat Apple per definitie niet jouw privacy beschermd. Ik weet niet welke data Google dat Safari kan opvragen. Misschien valt dat mee, misschien valt dat tegen.

Aan de andere kant. Google is net zoals Meta, Samsung, Amazon en nog wat andere bedrijven een advertentieverkoper. Die bedrijven zijn dus ‘per definitie’ schofterig. Want dat hoort bij die branche.
Echter. Op het moment dat iemand volledig transparant is in hoe schofterig ze zijn. Is het dan nog steeds echt een privacyprobleem?
Als ik ervoor kies om Google te gebruiken, dan kies ik er de facto voor dat ik geprofileerd wordt toch? (Het feit dat m’n buurvrouw van 82 daar niet bij nadenkt is een andere discussie)

Google profileert haar gebruikers om advertenties te verkopen. Ze verkopen ‘mijn data’ niet aan derden. Althans. Niet dat herleidbaar is naar mij. Ze zouden wel gek zijn, want mijn profiel is juist hun bron van inkomsten.
nu nog dat Apple de wens van gebruikers respecteert en ook van dit soort instellingen afblijft.

Hoevaak ik nu al "Prive wifi-adres" en "Beperk IP-adrestracking" heb uitgeschakeld en het na een tijdje weer doodleuk aanstaat :(
IPhones hebben jarenlang de unieke macadressen van gebruikers weergegeven op wifinetwerken.
Tja, dat is hoe netwerken werken. Echt verbergen is me onmogelijk, de eerste hop ziet het altijd.
@AverageNL Graag iPhones in de titel i.p.v. IPhones, voor de mensen met Apple OCD :*)
Het is toch het apparaat dat te tracken is met het unieke mac adres en niet zozeer de gebruiker? Ik begrijp dat dit voor de meeste mensen op hetzelfde neerkomt maar een device is wat anders dan een gebruiker.
Dit zet mij even aan het denken hoe dit dan bij Android toestellen werkt en/of dan ook een willekeurig IP gegenereerd word. Eerlijk gezegd verder nooit op gelet binnen mijn eigen netwerk en ik het zelfs handig vind om te zien welke smartphones op mijn lokale netwerk zitten.

Op dit item kan niet meer gereageerd worden.