Appleはプライバシー保護に力を入れているイメージを前面に出した製品開発を行っており、それが奏功し一般的にiPhoneはプライバシー保護に強いイメージがある。

そうした同社の取り組みの1つに、ネットワーク上のデバイス固有の識別子「MACアドレス」を偽装する機能「プライベート Wi-Fi アドレス」と呼ばれる物があるが、この機能が初登場した2020年から今まで、まともに機能していなかった事が明らかになったのだ。

ArsTechnicaのレポートによると、今週リリースされたiOS 17.1には「プライベートWi-Fi アドレス機能」が動作しない脆弱性の修正が含まれているとのことだ。この機能は2020年のiOS 14で導入されたものだが、同サイトの取材に応じたセキュリティ研究者は、この脆弱性によってこの機能が役に立たなくなったと述べている。

どうやら、この脆弱性によってAppleのデバイスは、偽装されたプライベートアドレスの代わりに実際にデバイスが持っていたMACアドレスを表示し続けていたと言われている。

MACアドレスは通常、デバイスの製造時に設定され、デバイスに結びつけられる。MACアドレスは、ネットワーク・インターフェース・ハードウェアを変更したときに変更することができ、場合によってはマスクすることもできるが、そうでなければハードウェア・レベルでは静的なものとみなされる。つまり、基本的にMACアドレスは変わらないため、トラッカーはWi-Fiネットワーク全体であなたを追跡することが出来るのだ。

iOS 14で、AppleがiOSに導入した「プライベートWi-Fiアドレス」機能は、MACアドレスをネットワークと共有する代わりに、ネットワークごとに異なる個別の「プライベートWi-Fiアドレス」を表示し、追跡可能性を低減するものだった。

バグとその影響は？

とはいえ、セキュリティ研究者の間では、この機能が接続時に「プライベートWi-Fiアドレス」を共有する一方で、MACアドレスも別のフィールドで共有しており、知識のある人なら、問題なく本当のMACアドレスを引き出せるだろうと指摘している。Appleのロックダウンモードでさえ、本当のMACアドレスを共有し続けるからだ。

とはいえ、この機能によって、完全な保護ではないとは言え、ネットワーク越しにiPhoneを追跡することが難しくなった。

今回のバグ自体は、Appleの主張通りにプライバシー保護が行われていなかったとはいえ、一般的なユーザーにとってはほとんど影響はないだろう。だが、結局のところiPhoneはそれほど安全ではなく、企業が主張する機能を盲信すべきではないということを浮き彫りにしてくれた今回の出来事は、我々ユーザーに教訓を与えてくれる物でもあるだろう。

Source

• ArsTechnica: iPhones have been exposing your unique MAC despite Apple’s promises otherwise