蘋果上周釋出iOS/iPadOS 17.1及watchOS 10.1更新，以修補3年前起就洩露iPhone、iPad及Apple Watch MAC位置的漏洞。

更新修補的漏洞CVE-2023-42846，是由二位研究人員Talal Haj Bakry及Tommy Mysk揭露與通報。蘋果只簡單描述，該漏洞可造成iOS裝置被人經由公開的Wi-Fi MAC位址追蹤。

這項漏洞是出在iOS中私有Wi-Fi位址（Private Wi-Fi address）的功能中。根據蘋果解釋，裝置在連上Wi-Fi網路時，會公開一組獨特的網路位置，名為Media Access Control（MAC）位置。但因為裝置總是使用固定的位址，這會讓網路營運商和其他觀測網路活動的人，長期下來可以輕易掌握裝置活動和位置，便能追蹤使用者或建立使用者側寫（profiling）。所有Wi-Fi網路上的裝置都受此影響。

蘋果從iOS/iPadOS 14及watchOS 7起加入新安全功能，可為每個Wi-Fi網路使用不同MAC位址，名為私有Wi-Fi位址。在此功能下，如果用戶刪除網路設定和內容，下次再連上同一Wi-Fi網路時，就會有不同私有MAC位址。而從iOS/iPadOS 15及watchOS 8起，如果iOS裝置6個月未連Wi-Fi網路，下次再連上該網路，也會換成新的位址。要是用戶設定不記憶Wi-Fi網路，則iOS裝置便不會記錄，除非兩次連網間隔少於2周。

不過研究人員Mysk發現，這個功能根本從iOS 14推出後就未起作用。當iPhone連上Wi-Fi網路時，它會發送廣播呼叫以發掘網路上的AirPlay裝置。而在此時，iOS也會將裝置真實的Wi-Fi MAC位址廣播出去。而在真實MAC網址曝光後，iOS裝置即可能被Wi-Fi網路上的其他人追蹤。

本裝置影響的iPhone XS、iPad Pro 12.9吋第2代、iPad Pro 10.5吋及iPad Pro 11吋、iPad Air 3、iPad 6、iPad mini 5以後，以及Apple Watch 4以後版本。

蘋果說明此漏洞出在mDNSResponder的一段程式碼錯誤，更新作業系統已移除了有bug的程式碼。

最新iOS更新修補的漏洞，還包括可讓非經授權的使用者存取Passkeys（CVE-2023-42847）、讀取隱藏相簿（CVE-2023-42845）、使用Siri存取敏感用戶資料，以及使應用程式存取聯絡人資料（CVE-2023-42857）等18項安全漏洞。