Tracking-Schutz in WLAN-Netzen
iOS 14.2 kann Einsatz privater WLAN-Adressen unterbinden
Zu den neuen Sicherheitsfunktionen von iOS 14 gehört unter anderem die standardmäßige Nutzung sogenannter „privater WLAN-Adressen“, die das iPhone in Wi—Fi-Netzwerken nicht mehr als eindeutiges Gerät identifizieren sondern dafür sorgen, dass sich dieses bei jedem Einbuchen mit einer anderen Kennziffer vorstellt – ifun.de berichtete.
Apple würfelt dafür die sogenannte Media-Access-Control-Adresse (MAC-Adresse) durcheinander, die jede Netzwerkkomponente in Rechnern, Accessoires und mobilen Geräten wie iPhone und iPad eindeutig identifizierbar machen. Eine zufällig generierte MAC-Adresse kann verhindern, dass Geräte bestimmten Nutzerprofilen zugewiesen werden.
Ein Feature, das in Supermarkt- oder Hotel-WLANs davor schützen kann über mehrere Besuche hinweg getrackt zu werden, unter Umständen aber auch für Probleme sorgen kann. So werden in Heimnetzwerken die MAC-Adressen bekannter Geräte gerne als zusätzlicher Zugangsschutz genutzt. Nur Geräte mit zuvor freigegebenen MAC-Adressen wird das Einbuchen in das zusätzliche auch Passwort-gesicherte WLAN gestattet.
Profile setzten sich jetzt durch
Mit iOS 14.2 hat Apple in Sachen privater WLAN-Adressen nun nachjustiert. Während Nutzer seit Einführung des Features die Möglichkeit hatten die privaten WLAN-Adressen auf Wunsch auch zu deaktivieren, sorgt das jüngste System-Update dafür, dass diese Option bei Einsatz von MDM-Profilen deaktiviert werden kann.
Sprich: Firmen-Administratoren können ihren Mitarbeitern mit Hilfe eines entsprechend angepassten MDM-Profils die Möglichkeit nehmen die privaten WLAN-Adressen in der Detail-Konfiguration des gerade verbundenen WLAN-Netzwerkes zu deaktivieren.
Apple macht auf die Neuerung im Support-Eintrag #HT211949 („Über private Wi-Fi-Adressen und Unternehmensnetzwerke“) aufmerksam.
Bei mir ist im iphone „private WLAN-Adresse“ aktiviert und im Router die Mac-Adressen sperre. Keine Probleme hier zuhause am Router.
Dann darf anscheinend jedes neue Gerät mit korrekten Passwort ins WLAN bei Dir. Wenn Du in Deinen Router die Config-Oberfläche öffnest, hast Du vermutlich mehrere Geräte, welche kürzlich angemeldet waren – und in Wahrheit nur ein Gerät sind
Das ist eine Konfigurationsfrage.
FRITZ 7590, unter WLAN/Sicherheit ist „WLAN-Zugang auf die bekannten WLAN-Geräte beschränken“. Rest wie oben beschrieben. Es funktioniert im Heimnetz ohne Auffälligkeiten. Ist eine andere Stelle der Einstellungen relevant?
Connecting to a previously-known network using a hardware MAC address
A “previously-known network” is any Wi-Fi network that a device has connected to and remembers prior to upgrading to iOS 14, iPadOS 14, or watchOS 7.
Der Link von ifun eingebunden, Auszug, deshalb habe ich keine Probleme im Heimnetz!?:
When a device connects to a previously-known network:
It tries to connect using the private address.
If that attempt fails because the organization’s Wi-Fi network doesn’t allow a device to join using a private address, it immediately tries to connect using the device’s hardware MAC address.
During this time, and until the device successfully connects using the private address:
The Private Address option remains off for that network in Settings.
The device continues to try to connect using the private address. If it fails, it will continue to use the hardware MAC address.
After the device successfully connects using the private address, only the private address will be used for future connections to that particular Wi-Fi network.
Genau
Einmal vergessen auszuschalten. Und nach drei Tagen waren 70 DHCP leases für das iPhone reserviert.
und das bei nur einem Gerät. Bei mir im Büro läuft ständig der DHCP-Scope voll wegen diesem Käse.
? Private Adresse wird hier pro WLANSSID einmal generiert. Egal wie oft du diese ein und ausschaltest du hast entweder die richtige MAC Adresse oder eine falsche MAC Adresse
Dann schalte es für das entsprechende Netzwerk einfach ab!
Ich vermisse seit iOS14 die Funktion VOLTE abzuschalten. Einige Festnetzanschlüsse kann ich so leider nicht erreichen. Der Apple-Support wusste auch keine Lösung.
Sorry, wenn es an dieser Stelle nicht passt…
Lässt sich bei mir unter „Mobiles Netz“ -> Datenoptionen -> Sprache und Daten -> VOLTE ausschalten
Der VoLTE Schalter versteckt sich unter Einstellungen > Mobiles Netz > Datenoption > Sprache & Daten
Einstellungen > Mobiles Netz > Datenoptionen > Sprache und Daten > VoLTE ( x)
Schade nur das dies im Profilmanager des Apple eigenen MDM noch fehlt. Oder hat jemand einen Tip, wo das zu finden ist?
Profilmanager mach auch nur die Basis, die meisten Payloads würd ich eher mit ProfileCreator oder iMazing Profile Editor erstellen
Nun wäre es auch schön, wenn man diesen „Schalter“ z. B. unter Datenschutz selbst aktivieren könnte. Es ist nämlich unheimlich nervig, wenn man mehrere Accesspoints für ein und dasselbe Netzwerk hat, unterschiedliche SSID, dann denkt das iPhone, jeder Zugangspunkt sei ein eigenes Netzwerk und würfelt demzufolge eine eigene MAC-Adresse.
Und alle Firmen-Handies möchte man ja auch nicht im MDM haben.
Ja natürlich denkt das iPhone bei unterschiedlichen SSIDs das es unterschiedliche Netzwerke sind, das ist doch ein normales Verhalten. Grundsätzlich ist doch die Frage warum EIN Netzwerk mit unterschiedlichen SSIDs konfiguriert ist.
Du magst vielleicht einen guten(?) Grund für diese Ansätze haben, aber auf dem ersten Blick macht alles keinen Sinn.
Selbes Netzwerk, aber verschiedene SSIDs? Willst du wissen, auf welchem AP du landest? Probleme mit 2,4GHz und 5Ghz Trennung, weil irgendwelche Geräte sonst nicht funktionieren? AP Hersteller wechseln. :D Und wegen dem DHCP Lease oben: Die Lease Time auf dem DHCP Server kürzen. Sofern irgendwas immer die IP behalten muss: Einen kleinen Bereich statisch vergeben.
Nicht alle Firmen-Handies ins MDM? Wieso nicht? Schon allein das WiFi-Profile (ggf. sogar als 802.1x statt PSK) pushen zu können, dann noch zur Sicherheit min. ein sechsstelligen Zahlencode zur Geräteentsperrung zu verlangen, vielleicht noch das Email Profil (je nach Lösung m.W. möglich) pushen sind finde ich gute Gründe. Zudem lassen sich mit vielen Lösungen zusätzlich zu „Find My“ die Geräte sperren oder remote löschen.
Unterschiedliche SSIDs bei mehreren AccessPoints ist auch nicht der Sinn der Sache. Mit AccessPoints soll das WLAN Vergrößert werden und das eigentlich bei gleicher SSID.
Das Netzwerk umspannt das halbe Dorf. Unterschiedliche Bereiche (Technik, Verwaltung, Versand), aufgeteilt in unterschiedlichen Regionen des Dorfs, sind per LWL angebunden und haben unterschiedliche WLAN-Zugänge. Einfache, dezentral verwaltete Accesspoints. Da gibts kein „großes WLAN“ wie bei zentral verwalteten Lösungen, auch kein Mesh oder sowas, da zu große Entfernungen.
Außerdem gibt es die Möglichkeit (die ich zuhause nutze, Unifi) zwei SSID zu erstellen, eine für privates Netzwerk und eine fürs Gast-Netzwerk, getrennt durch VLAN. Buche ich ein iOS-Gerät wahlweise hier und da ein, sind es unterschiedliche Geräte, obwohls das gleiche Gerät ist.
Wieso nicht alle Geräte im MDM? Es gibt z. B. private Geräte (BYOD) oder Geräte technik-affiner Manager. Außerdem ist es eine Kosten-Frage, wie viele Geräte im MDM eingebucht werden.
Ich finde die Option mit der privaten MAC-Adresse für öffentliche Netze interessant. Ich bewege ich aber zu 99 % in nicht öffentlichen Netzen (für öffentliche Netze hab ich einen mobilen Accesspoint / Router und bringe da mein privates Netz mit). Und deshalb hätte ich gerne einen pauschalen Schalter, der diese Option ein- oder ausschaltet. Denn wenn ein Gerät über unterschiedliche Accesspoints unterschiedlich heißt, gerät jedes Netzwerkmonitoring aus dem Tritt. Bzw. Inventory mit Lizenzmanagement wird ad absurdum geführt.
Man hätte die Möglichkeit der privaten MAC-Adresse auch ganz einfach ausgeschaltet lassen können um es bei Bedarf zu aktivieren. Aber der User wird ja generell für blöd erklärt und man muß solche Varianten dann immer automatisch aktiviert haben.
Tatsächlich würfelt das iPhone nur einmalig pro SSID eine MAC Adresse, die dann aber in dieser spezifischen SSID bestehen bleibt.
Sonst würde man ja auch jeden Tag von deiner FritzBox (wenn man denn eine nutzt) Benachrichtigt werden, dass sich ein neues Gerät im Netzwerk angemeldet hat.
Nein eben genau das macht es nicht. Sinn ist ja bei erneutem einbuchen ins wlan nicht wiedererkannt zu werden. Das heißt mit jedem Besuch gibts ne neue MAC-Adresse. Teilweise auch beim Wechsel zwischen Accesspoints.
Doch, genau das macht es :) Ich weiss, dass es anders verkauft wurde. Aber Apple ist hier noch mal zurück gerudert. Ich habe beruflich mit der Betreuung von WLANs zu tun und dort sehe ich genau dieses verhalten. Ebenfalls bei uns im Labor so getestet.
Sonst ist es auch hier noch mal genauer beschrieben: https://wifinowglobal.com/news-and-blog/new-test-reveals-how-apples-private-wi-fi-address-feature-will-work/
Es wird auch anders umgesetzt vom iPhone, ist Private IP Aktiviert habe ich auf einer 7590 Ruckzuck mehrmals mein iPhone mit Unterschiedlichen Mac-Adressen und dadurch auch mit Unterschiedlichen IPV4 und IPV6.
Es ist nicht gerade gut, wenn du dich damit brüstet WLANs zu betreust, denn hier zeigst du gerade das du keine Ahnung hat was du machst…
Steht ja auch so in der Beschreibung unter dem Schalter:
„…das Tracking deines iPhone über verschiedene Wlans “
Wichtig ist hier der Punkt verschiedene Wlans.
Gerade getestet.
Wenn ich WLAN abschalte und wieder aktiviere bleibt die MAC gleich.
Beim Guest WLAN andere MAC.
Also ist das in der Beschreibung hier falsch.
Nachtrag:
Tatsächlich bleibt die im WLAN angezeigte Adresse gleich. In der FRITZ!Box erscheint das iPhone dann mehrfach mit verschiedenen MAC Adressen.
Komischerweise scheint die FritzBox aber die echte Adresse trotzdem zu kennen, da das IPhone trotz eingeschalteter Funktion nur bekannte Geräte zuzulassen ins Netzwerk kommt. Oder macht die Box das nach NAMEN des Gerätes oder baut sie sich eine eigene ID zusammen?
Genau das ist der Fall
Exakt
Bei mir im WLAN des Eero Pro werden mein iPhone und iPad etwa alle 1-2 Tage mit einer neuen MAC-Adresse angezeigt.
Sinnvoller wäre es doch einen Schalter in iOS zu implementieren, bei dem man in den entsprechenden Netzwerken die zufällig generierten Adressen individuell ein- oder ausschalten könnte.
So könnte man sein privates WLAN mit der „echten“ Mac Adresse plus Zugangsbeschränkung schützen und in öffentlichen WLANs wird ein Adresse zufällig generiert.
Den gibt es doch. In den WLAN Einstellungen auf Info für das jeweilige Netzwerk einzustellen. Nur dass es eben ein opt-out, statt opt-in ist.
Wen es ein reines Opt-In in den Optionen wäre würde es der DAU auch nicht nutzen. Das iPhone müsste beim erstmaligen einbuchen Abfragen welche Option für das WLAN bevorzugt wird. Wobei selbst da würden einige Nutzer scheitern…
Sorry aber das Feature ist komplett sinnlos. Jetzt tauche ich mit einer falschen MAC-Adresse auf , heute morgen übermorgen aber immer mit der gleichen falschen MAC-Adresse. Ob man jetzt eine falsche MAC trackt oder eine „richtige“ spielt absolut keine Rolle
Die Mac-Adresse wird regelmäßig neu gewürfelt somit erscheint das iPhone immer wieder als ein neues bzw. anderes Gerät.
Ich manage 1000 iPads in einer Schule… das Problem ist, dass diese Option für jedes einzelne WLAN festgelegt werden muss. Es gibt keinen globalen ON-OFF Schalter. Da unser WIFI mit LDAP Authentifizierung funktioniert, macht es für uns keinen Sinn, die Wifi Konfiguration via MDM Profil zu pushen
Mit so einer Funktion kann man auch den DHCP-Server zumüllen… ;) eine automatisch zur Mac Adresse zugewiesene IP bleibt in der Regel darauf für 24h reserviert. In Hotel-WLANs die darauf aufbauen u. einen Login-Proxy verwenden freuts… Da muss man dann häufiger sich mit seinen Zugangsdaten anmelden u. sperrt sich ggf. aus, da der (manchmal individuelle)Login bereits von einem selbst blockiert wurde.
Völlig nervig,
IPhone zeigt in den Einstellungen an im WLAN zu sein, oben allerdings Anzeige ins Netz über Mobilfunknetz :-(
Dann mal wieder für zwei Minuten WLAN, dann wieder Mobilfunknetz, obwohl man in der Nähe des Routers/Repeaters ist..
MacBook daneben schön im Wlan
Da werden sich demnächst wieder viele Nutzer von Telekom Router mit Problemen melden, dass sie in ihr WLAN nicht mehr rein kommen oder darüber keine Internetverbindung haben. Alles nur weil die Telekom Router ihre DHCP Lease auf 1 Woche stellen.
Und nur mal als Hinweis: Für Personen, die ein WPA-Passwort umgangen bekommen ist die Mac-Sperre nur ein müdes Lächeln wert, das ist kein Sicherheitsfeature.
Die Mac-Adressen werden unverschlüsselt durch das WLAN geschickt, es ist kein Problem, eine „legale“ abzufangen und sich dann für diese auszugeben.
Bringt etwa so viel Sicherheit wie ein Tesafilmstreifen über einem Zylinderschloss, dafür macht so ein Feature gerne Ärger. Man kennt ja Apple, nach einem iOS-Update ist so ein Schalter schnell wieder an…
Ja, ich habe für mein WLAN bei den iOS-Geräten dieses Verwürfeln der Adressen auch ausgeschaltet – alleine um die Liste der bekannten Geräte im Router nicht vollzumüllen.
Hi,
Ich hab das neue Update auch gemacht und seit dem wird jede neue WLAN-Verbindung blockiert. Da ich zuhause ein neues WLAN bekommen habe, kann ich mich nicht mehr damit verbinden. Hat einer eine Ahnung wie ich das deaktivieren kann?