Falsa sicurezza: gli indirizzi MAC dell'iPhone non rimangono segreti (anche se Apple lo aveva promesso)
Tre anni fa, Apple ha lanciato un aggiornamento software progettato per nascondere l'indirizzo MAC nelle reti. L'obiettivo era quello di evitare che gli iPhone venissero rintracciati così facilmente. Ora si scopre che la funzione non ha mai funzionato.
Ricercatori di sicurezza hanno scoperto che Apple ha pubblicizzato per anni una funzione di sicurezza che in realtà non ha mai funzionato. Nel 2020, l'azienda tecnologica ha lanciato iOS 14, che includeva una funzione progettata per migliorare la privacy nelle reti. In particolare, l'indirizzo MAC del dispositivo non viene rivelato alla rete.
Invece, l'iPhone genera un indirizzo Wi-Fi "privato", diverso per ogni SSID, cioè per ogni rete Wi-Fi. Questa procedura si chiama "spoofing". In questo modo si evita che l'indirizzo MAC venga inviato ad altri client della rete e che venga utilizzato in modo improprio.
Che cos'è un indirizzo MAC e perché Apple vuole tenerlo segreto?
Un indirizzo MAC è l'acronimo di "Media Access Control Address" (indirizzo di controllo dell'accesso ai media) e viene utilizzato per identificare il tuo dispositivo in una rete, o meglio l'adattatore di rete del tuo dispositivo. Un indirizzo MAC è statico, quindi non cambia mai. Può anche essere assegnato in modo univoco a un dispositivo specifico.
Questo in teoria permetterebbe agli altri utenti di assegnare il traffico dati in rete al tuo dispositivo. O di scoprire altri dati come il produttore del tuo dispositivo.
Perché la funzione non ha funzionato?
Gli esperti di sicurezza Thommy Mysk e Talal Haj Bakry hanno scoperto qualche giorno fa una vulnerabilità. A questa è stato dato il nome di "CVE-2023-42846". Consente il tracciamento passivo dell'indirizzo MAC. Questo significa che la funzione che Apple ha fornito con iOS 14 nel 2020 era presente, ma non funzionava nella misura desiderata. iOS ha continuato a inviare l'indirizzo MAC alla rete, anche se non avrebbe dovuto più farlo per tre anni.
Mercoledì, Apple ha rilasciato la versione 17.1 di iOS. Nel registro degli aggiornamenti si legge, tra le altre cose, che l'aggiornamento contiene "una patch per la vulnerabilità CVE-2023-42846". Ad oggi, Apple non ha ancora reso noto il motivo per cui questa vulnerabilità è rimasta sconosciuta per così tanto tempo e perché non è stata comunicata in maniera diffusa.
Suggerimento: se possiedi un iPhone XR o più recente, dovresti aggiornare iOS il prima possibile, anche se i possessori di iPhone più vecchi dovrebbero controllare regolarmente il menu degli aggiornamenti.
Immagine di copertina: Shutterstock
Da quando ho scoperto come attivare entrambi i canali telefonici sulla scheda ISDN per ottenere una maggiore larghezza di banda, sperimento con le reti digitali. Con quelle analogiche, invece, da quando so parlare. A Winterthur per scelta, con il cuore rossoblu.