Конфиденциальность Wi‑Fi на устройствах Apple
В устройства Apple встроены функции, предназначенные для конфиденциального подключения к сетям Wi‑Fi.
Конфиденциальные адреса Wi‑Fi
На устройствах с iOS 14, iPadOS 14, macOS 14, watchOS 7, visionOS 1.0 или новее при подключении к сети Wi‑Fi устройство может идентифицировать себя, используя уникальный случайный адрес Wi‑Fi (MAC‑адрес). Это усложняет отслеживание устройств и повышает конфиденциальность пользователей.
Примечание. Эту функцию можно включить в системе управления мобильными устройствами (MDM) (требуется visionOS 1.1 или новее). Если эта функция включена, операционная система отображает в Настройках предупреждение системы безопасности о том, что в данной сети снижен уровень безопасности.
На устройствах с iOS 18, iPadOS 18, macOS 15, watchOS 11, visionOS 2.0 или новее для функции «Конфиденциальные адреса Wi‑Fi» доступны три режима работы. Для каждой сети можно выбрать любой из трех режимов, перечисленных далее.
Выкл. Для устройства используется аппаратный адрес Wi‑Fi, поэтому оно может отслеживаться сетями и находящимися рядом устройствами Wi‑Fi.
Статический адрес. Статический частный адрес затрудняет отслеживание между сетями, так как в сети используется уникальный Wi‑Fi. Этот вариант по умолчанию используется для защищенных сетевых соединений, таких как личный WPA2, корпоративный WPA2, личный WPA3, корпоративный WPA3, корпоративный WPA3 со 192‑битным ключом и личный WPA3 R3.
Ротация адреса. Ротация частного адреса затрудняет отслеживание, так как устройству в сети присваивается периодически меняющийся адрес Wi‑Fi. Этот вариант по умолчанию используется для соединений со слабой аутентификацией и слабыми методами шифрования, такими как WPA, OWE, WEP, порталы авторизации и открытые сети.
Подробнее в статье службы поддержки Apple Использование частных адресов Wi‑Fi на iPhone, iPad и Apple Watch.
Скрытые сети
Для идентификации сети Wi-Fi используется ее сетевое имя, известное как идентификатор набора служб (SSID). Для некоторых сетей Wi-Fi настроено скрытие SSID, в результате чего на устройстве не отображается имя сети. Такие сети называются скрытыми. Устройства Apple автоматически распознают, скрыта ли сеть. Если сеть скрыта (и только в этом случае), устройство отправляет пробный запрос, в который включен запрос идентификатора SSID. Эта мера направлена на то, чтобы устройство не сообщало имена скрытых ранее сетей, к которым подключался пользователь, что обеспечивает дополнительную конфиденциальность.
Безопасность режима модема, общего интернета и прямых соединений
При установлении прямых соединений между устройствами по Wi‑Fi Apple генерирует случайные MAC‑адреса, чтобы использовать их для AirDrop и AirPlay. Случайные адреса также используются для режима модема в iOS и iPadOS (с SIM-картой) и общего интернета в macOS. Новые случайные адреса генерируются при каждом запуске этих сетевых интерфейсов; для каждого интерфейса по мере необходимости генерируются свои уникальные адреса.
Случайный сдвиг для функции синхронизации времени
Чтобы повысить конфиденциальность пользователей и предотвратить снятие отпечатков с устройств, устройства Apple используют случайный стартовый сдвиг для функции синхронизации времени (TSF) при всех прямых подключениях и во всех режимах точки доступа. Этот 56‑битный сдвиг не позволяет злоумышленнику использовать значение TSF для обхода случайного выбора MAC‑адреса. Этот случайный сдвиг TSF применяется для интерфейса при каждой смене MAC‑адреса. Поддержка случайного сдвига TSF добавлена на следующие устройства с iOS 15, iPadOS 15, macOS 12.0.1, tvOS 15, visionOS 1.0 и новее:
все модели iPhone начиная с iPhone 8 и новее;
все модели iPhone SE начиная с iPhone SE (2‑го поколения) и новее;
все модели iPad начиная с iPad Air (3‑го поколения) и новее;
все модели компьютеров Mac, впервые выпущенные в 2020 г. и позже;
все модели Apple TV начиная с Apple TV 4K (1‑го поколения) и новее.
Apple Vision Pro;
все модели HomePod.