Security-Forscher

Apples iPhone-Sicherheitsfunktion von Anfang an unnütz

15.12.2023
Von Roman Loyola
"Private WLAN-Adresse" sollte es Nutzern ermöglichen, das Tracking ihres iPhones über verschiedene WLANs zu reduzieren. Mit iOS 17.1 tut es das endlich auch.
Mit iOS 17.1 funktioniert das in iOS 14 eingeführte Feature Private WLAN-Adresse jetzt tatsächlich.
Mit iOS 17.1 funktioniert das in iOS 14 eingeführte Feature Private WLAN-Adresse jetzt tatsächlich.

Hier ist ein weiterer Grund, warum Sie auf iOS 17.1 aktualisieren sollten: Die Funktion "Private WLAN-Adresse" funktioniert jetzt tatsächlich. Die in iOS 14 eingeführte Funktion "Private Adresse" (auch "Private WLAN-Adresse" genannt) sollte Nutzern eine Möglichkeit bieten, zu vermeiden, dass sie beim Verbinden mit WLAN-Netzwerken verfolgt werden. Laut Ars Technica hat die Funktion jedoch aufgrund einer Sicherheitslücke nie wirklich funktioniert. Apple hat die Schwachstelle schließlich mit dem letzten iOS-17-Update behoben.

Das Problem, das in der "Common Vulnerabilities and Exposures"-Datenbank als CVE-2023-42846 dokumentiert ist, betraf die Fähigkeit der Funktion, die MAC-Adresse (Media Access Control) eines iPhones zu verbergen, mit der das Gerät in einem WLAN-Netzwerk angemeldet ist.

Die Kolleg:innen von Macworld erklären in ihrer Kolumne "Mac 911" über Private Addresse jedoch: "Wenn sich diese MAC-Adresse im Laufe der Zeit nicht ändert, könnte das Backend eines Hotspot-Portals ein Profil von Ihnen (oder Ihrem Gerät) erstellen, indem es eine Reihe von Hinweisen verwendet, die sich nur dann als verfolgbar erweisen, wenn sie mit einer festen Netzwerk-ID verknüpft sind."

Die Sicherheitsforscher Talal Haj Bakry und Tommy Mysk fanden eine Schwachstelle in Private Address, die seit der Einführung der Funktion in iOS 14 im Jahr 2020 bestand. Wenn die Funktion aktiviert war, antwortete iOS auf Adressanfragen mit einer solchen maskierten Adresse als Quelle, was den Anschein erweckte, dass die Funktion funktionierte. Die Forscher fanden jedoch heraus, dass die tatsächliche MAC-Adresse in einem anderen Teil der Anfrage-Antwort angegeben wurde.

"Aufgrund dieses Fehlers war diese Funktion von Anfang an nutzlos", sagte Mysk gegenüber Ars Technica. Mysk hat ein 98 Sekunden langes Youtube-Video veröffentlicht, in dem er das Problem erklärt und darauf hinweist, dass es in iOS 17.1 behoben ist.

Ars Technica weist darauf hin, dass "die Funktion nicht [komplett] nutzlos war, weil sie passives Sniffing verhindert hat", aber es war relativ einfach, die echte MAC-Adresse zu finden und die Informationen schändlich zu nutzen. Ars weist auch darauf hin, dass "die Auswirkungen für die meisten iPhone- und iPad-Benutzer, wenn überhaupt, nur minimal sein dürften."

Die Funktion "Private Adresse" befindet sich in den Einstellungen. Tippen Sie auf "WLAN" und dann bei einem der angezeigten WLAN-Netzwerke auf das Symbol "i" ?. Unter den Anmeldedaten und dem Datensparmodus können Sie die Funktion für jedes WLAN separat ein- und ausschalten. Wenn Sie iOS 17.1 installieren, können Sie sicher sein, dass es jetzt tatsächlich funktioniert.

(Macwelt)

Zur Startseite