تفاحة
قبل ثلاث سنوات، طرحت شركة آبل ميزة لتحسين الخصوصية قامت بإخفاء عنوان Wi-Fi لأجهزة iPhone وiPad عند انضمامها إلى الشبكة. وفي يوم الأربعاء، علم العالم أن الميزة لم تعمل أبدًا كما هو معلن عنها. على الرغم من الوعود بإخفاء هذا العنوان الذي لا يتغير أبدًا واستبداله بعنوان خاص فريد لكل SSID، استمرت أجهزة Apple في عرض العنوان الحقيقي، والذي تم بثه بدوره إلى كل جهاز متصل آخر على الشبكة.
تكمن المشكلة في أن عنوان التحكم في الوصول إلى وسائط Wi-Fi — يُسمى عادةً amالتحكم في الوصول إلى الوسائط عنوان أو ببساطة MAC – يمكن استخدامه لتتبع الأفراد من شبكة إلى أخرى، بنفس الطريقة التي يمكن بها استخدام رقم لوحة الترخيص لتتبع مركبة أثناء تحركها في جميع أنحاء المدينة. مثال على ذلك: في عام 2013، كشف أحد الباحثين عن جهاز لإثبات المفهوم يقوم بتسجيل عنوان MAC لجميع الأجهزة التي اتصل بها. وكانت الفكرة هي توزيع الكثير منها في جميع أنحاء الحي أو المدينة وإنشاء ملف تعريف لمستخدمي iPhone، بما في ذلك مواقع التواصل الاجتماعي التي قاموا بزيارتها والمواقع العديدة التي يزورونها كل يوم.
وفي العقد الذي تلا ذلك، أصبحت الاتصالات المشفرة باستخدام HTTPS أمرًا قياسيًا، وبالتالي فإن قدرة الأشخاص على نفس الشبكة على مراقبة حركة مرور الأشخاص الآخرين غير ممكنة بشكل عام. ومع ذلك، يوفر نظام MAC الدائم الكثير من إمكانية التتبع، حتى الآن.
وكما كتبت حينها:
أدخل إلى CreepyDOL، وهي شبكة موزعة منخفضة التكلفة من أجهزة استشعار Wi-Fi التي تطارد الأشخاص أثناء تنقلهم في الأحياء أو حتى المدن بأكملها. بمقاس 4.5 بوصة × 3.5 بوصة × 1.25 بوصة، تكون كل عقدة صغيرة بما يكفي لوضعها في مقبس الحائط في صالة الألعاب الرياضية أو المقهى أو غرفة الاستراحة القريبة. ومع قدرة كل واحدة على مشاركة حركة المرور على الإنترنت التي تجمعها مع كل عقدة أخرى، يمكن للنظام تجميع ملف تفصيلي من البيانات الشخصية، بما في ذلك الجداول الزمنية وعناوين البريد الإلكتروني والصور الشخصية ومكان وجود الشخص الحالي أو السابق أو الأشخاص الذين يراقبهم.
في عام 2020، أصدرت شركة Apple نظام التشغيل iOS 14 مع ميزة تعمل افتراضيًا على إخفاء أجهزة Wi-Fi MAC عند اتصال الأجهزة بالشبكة. وبدلاً من ذلك، عرض الجهاز ما أسمته Apple “عنوان Wi-Fi خاص” والذي كان مختلفًا لكل SSID. بمرور الوقت، قامت Apple بتحسين هذه الميزة، على سبيل المثال، من خلال السماح للمستخدمين بتعيين عنوان Wi-Fi خاص جديد لمعرف SSID معين.
أصدرت شركة Apple يوم الأربعاء نظام التشغيل iOS 17.1. ومن بين الإصلاحات المختلفة، كان هناك تصحيح لثغرة أمنية، تم تتبعها باسم CVE-2023-42846، والتي منعت ميزة الخصوصية من العمل. أخبر تومي ميسك، أحد الباحثين الأمنيين اللذين تنسب إليهما شركة Apple اكتشاف الثغرة الأمنية والإبلاغ عنها (كان طلال حاج بكري هو الآخر)، لـ Ars أنه اختبر جميع إصدارات iOS الأخيرة ووجد أن الخلل يعود إلى الإصدار 14، الذي تم إصداره في سبتمبر 2020.
وقال: “منذ البداية، كانت هذه الميزة عديمة الفائدة بسبب هذا الخطأ”. “لم نتمكن من منع الأجهزة من إرسال طلبات الاكتشاف هذه، حتى مع وجود VPN. حتى في وضع التأمين.”
عندما ينضم جهاز iPhone أو أي جهاز آخر إلى الشبكة، فإنه يطلق رسالة بث متعدد يتم إرسالها إلى جميع الأجهزة الأخرى الموجودة على الشبكة. بالضرورة، يجب أن تتضمن هذه الرسالة جهاز MAC. بدءًا من iOS 14، كانت هذه القيمة مختلفة افتراضيًا لكل SSID.
بالنسبة للمراقب العادي، يبدو أن الميزة تعمل كما هو معلن عنها. “المصدر” المدرج في الطلب هو عنوان Wi-Fi الخاص. ومع ذلك، بعد البحث أكثر قليلاً، أصبح من الواضح أن جهاز MAC الحقيقي الدائم لا يزال يبث إلى جميع الأجهزة المتصلة الأخرى، فقط في مجال مختلف من الطلب.
نشرت Mysk مقطع فيديو قصيرًا يظهر جهاز Mac يستخدم أداة Wireshark لرصد الحزم لمراقبة حركة المرور على الشبكة المحلية التي يتصل بها جهاز Mac. عندما ينضم جهاز iPhone يعمل بنظام iOS قبل الإصدار 17.1، فإنه يشارك جهاز Wi-Fi MAC الحقيقي الخاص به على المنفذ 5353/UDP.
قم بالترقية إلى iOS 17.1 لمنع تتبع جهاز iPhone الخاص بك عبر شبكات Wi-Fi.
وإنصافًا لشركة Apple، لم تكن هذه الميزة عديمة الفائدة، لأنها منعت الاستنشاق السلبي بواسطة أجهزة مثل CreepyDOL المشار إليها أعلاه. لكن الفشل في إزالة MAC الحقيقي من المنفذ 5353/UDP لا يزال يعني أن أي شخص متصل بالشبكة يمكنه سحب المعرف الفريد دون أي مشكلة.
من المرجح أن تكون التداعيات بالنسبة لمعظم مستخدمي iPhone وiPad في حدها الأدنى، هذا إن حدث ذلك على الإطلاق. ولكن بالنسبة للأشخاص الذين لديهم نماذج تهديد صارمة للخصوصية، فإن فشل هذه الأجهزة في إخفاء أجهزة MAC الحقيقية لمدة ثلاث سنوات قد يمثل مشكلة حقيقية، لا سيما في ضوء وعد Apple الصريح بأن استخدام الميزة “يساعد في تقليل تتبع جهاز iPhone الخاص بك عبر شبكات Wi-Fi المختلفة. “
لم تشرح شركة Apple كيف أن فشلًا أساسيًا مثل هذا قد أفلت من الإشعار لفترة طويلة. وجاء في الاستشارة التي أصدرتها الشركة يوم الأربعاء فقط أن الإصلاح نجح من خلال “إزالة الكود الضعيف”.
تم تحديث هذا المنشور لإضافة الفقرتين 3 و11 لتوفير سياق إضافي.