3년 전, Apple은 iPhone과 iPad가 온라인 상태일 때 Wi-Fi 주소를 숨기는 개인정보 보호 강화 기능을 출시했습니다. 하지만 Arstechnica는 Apple 기기가 여전히 네트워크에 연결된 모든 기기에 실제 주소를 표시한다고 밝혔습니다.

MAC은 네트워크 간에 장치를 추적하는 데 사용할 수 있는 Wi-Fi 미디어 접근 제어 주소로, 도시를 돌아다니는 사람과 차량을 추적하기 위해 번호판을 사용하는 것과 같습니다. 2013년에 한 연구원은 접촉한 모든 장치의 MAC 주소를 기록할 수 있는 프로토타입 장치를 공개했습니다.

10년이 지나 HTTPS 암호화가 표준이 되었기 때문에 동일한 네트워크에 있는 사람들이 서로의 트래픽을 모니터링하는 것은 일반적으로 실행 가능하지 않습니다. 하지만 MAC 주소는 여전히 많은 추적 기능을 제공합니다.

2020년에 Apple은 iPhone이 네트워크에 연결될 때 MAC 주소를 숨기는 기본 기능이 포함된 iOS 14를 출시했습니다. 대신, 해당 기기는 Apple에서 설명한 대로 "개인 Wi-Fi 주소"를 표시하며, 각 SSID마다 다르게 표시됩니다.

Apple은 최근 iOS 17.1을 출시했는데, 여기에는 이 보안 기능의 작동을 방해하는 CVE-2023-42846 취약점에 대한 패치가 포함되어 있습니다. 취약점을 발견하고 보고한 두 명의 보안 연구원 중 한 명은 최신 iPhone 운영 체제를 모두 테스트한 결과, 취약점은 2020년 9월에 출시된 iOS 14로 거슬러 올라간다고 밝혔습니다.

iPhone이나 다른 기기가 네트워크에 가입하면 네트워크의 다른 모든 기기에 나가는 MAC 주소 정보와 함께 멀티캐스트 메시지가 전송됩니다. iOS 14부터 이 값은 기본적으로 각 SSID마다 다릅니다.

연구원은 로컬 네트워크에 연결된 트래픽을 모니터링하기 위해 Wireshark를 사용하는 Mac을 보여주는 짧은 영상을 게시했습니다. 버전 17.1 이전의 iOS를 사용하는 iPhone의 경우, 포트 5353을 통해 실제 MAC 주소를 공유합니다.

하지만 이 기능은 네트워크 상의 프로그램을 "스니핑"하는 것을 방지하기 때문에 쓸모없는 것은 아닙니다. 하지만 포트 5353/UDP에서 실제 MAC을 제거하지 못하면 네트워크에 연결하는 모든 사람이 아무런 어려움 없이 고유 식별자를 얻을 수 있다는 것을 의미합니다.

이 보안 결함은 대부분의 iPhone 및 iPad 사용자에게 최소한의 영향을 미칩니다. 하지만 개인정보 보호에 대해 엄격하게 우려하는 사람들에게는 기기가 3년 동안 MAC 주소를 숨길 수 없다는 사실이 문제입니다. 특히 Apple이 이 기능을 사용하면 여러 Wi-Fi 네트워크에서 사용자의 iPhone을 추적하는 횟수를 줄일 수 있다고 명시적으로 약속했기 때문입니다.