Alle zwei Wochen neu
Neu in iOS 18: Rotierende Mac-Adressen im WLAN
Apple wird mit der Freigabe seiner neuen Betriebssysteme im Herbst die neue Funktion „WLAN-Adresse rotieren“ einführen, die zusätzlichen Datenschutz im öffentlichen und privaten WLAN-Netzwerken bieten soll. Das neue Feature wird sowohl in iOS und iPadOS 18 als auch in macOS 15 Sequoia verfügbar sein und, wenn aktiviert, dafür sorgen, dass die MAC-Adressen von Geräten in regelmäßigen Abständen geändert werden.
Neu in iOS 18: WLAN-Adresse rotieren
Erweiterter Schutz für MAC-Adressen
Bereits mit iOS 14 hat Apple im Jahr 2020 eine Funktion zur Verschleierung der eigenen MAC-Adresse eingeführt. Diese ermöglicht es Anwendern, für jedes WLAN-Netzwerk eine zufällige MAC-Adresse zu verwenden, um die Nachverfolgbarkeit der eigenen Geräte zu verringern und mehr Privatsphäre zu gewährleisten.
Laut Apple sollte diese Option in den meisten WLAN-Netzwerken keine negativen Begleiterscheinungen haben, allerdings könnten in Unternehmensumgebungen oder Bildungseinrichtungen, in denen MAC-Adress-Filter zum Einsatz kommen, Probleme auftreten. Ist dies der Fall, lässt sich die Option jederzeit auch deaktivieren und für jedes bekannte Netzwerk anpassen.
Mit „WLAN-Adresse rotieren“ sorgt Apple zukünftig dafür, dass sich die MAC-Adresse des eigenen Gerätes nicht nur für jedes Netzwerk, sondern zusätzlich auch in regelmäßigen Intervallen ändert. Im Regelfall sollen sich iPhone und Co. alle zwei Wochen mit einer neuen MAC-Adresse im WLAN einbuchen und es den Betreibern so erschweren, einzelne Geräte zu tracken. Das Erstellen von langfristigen Nutzer-Profilen wird so unmöglich.
Optional deaktivierbar
Sowohl unter iOS 18 als auch in macOS 15 Sequoia wird die neue Datenschutz-Funktion standardmäßig aktiviert sein, diese lässt sich bei Bedarf aber auch ausschalten.
Damit gilt nun: Das iPhone meldet sich bei neuen Netzwerken zukünftig nicht mehr nur mit einer zufällig generierten MAC-Adresse an, sondern ändert diese im Zwei-Wochen-Rhythmus auch automatisch. Für öffentliche Netzwerke verwendet die Funktion „WLAN-Adresse rotieren“ standardmäßig eine statische MAC-Adresse, in privaten Netzwerken werden die Adressen zufällig zugewiesen.
Ein Albtraum jedes Admins
Deswegen auch in Firmenumgebungen deaktiviert.
Privatgeräte gehören in ein separates W/LAN. Da muss nichts administriert werden. Und Geschäfsgeräte haben entsprechendes Profil. Wo ist also das Problem?
+ 1
Habt ihr schonmal was von BYOD gehört??
Genau. In einer Schule die absolute Katastrophe für den Admin, wenn die Firewall nach einer gewissen Anzahl Geräte streikt. Früher klappte das bestens, so wird es aber schwierig
In der Schule sollst lernen und nicht mit den Geräten rum spielen
FRITZ!Box freut sich wenn die Funktion eingeschaltet ist, wo man für jedes neue Gerät im WLAN eine email bekommt ;)
Alle paar Wochen eine Mail. WOW! Schalte die Funktion ab, wenn du mit diesem Mailaufkommen nicht zurecht kommst
Sehr freundlich
Viele sehen es aber als Sicherheitsoptionen, und wären jedes Mal verwirrt, wenn sich ein „neues Gerät“ angemeldet hat. Es sind ja nicht alles Administratoren, sondern nur einfache Privat User.
Dann muss man die Anleitung der neuen Features lesen und verstehen. Zuviel verlangt?
Für Otto Normal User… Ja, zu viel verlangt
Interessant aber laut IEEE nicht erlaubt und auch nicht wirklich praktikabel….
Das ist so leider nicht korrekt. MAC Address Randomization ist im 802.11-Standard definiert.
Das erste was ich bei allen Geräten ausschalte. Ich vergebe meine IP Adressen anhand der MAC in definierten Blöcken. So weiß ich genau, sollte sich ohne diese Funktion ein Gerät in einem Block befinden (von eindeutiger Namensgebung abgesehen), dass es nicht zu meinem Netzwerk gehört. Aktiver MAC Filter und WLAN Geräte einschränken versteht sich von selbst.
Dass man MAC-Adressen easy spoofen und faken kann, ist dir klar?
Und sie werden auch noch Klartext übertragen, selbst im verschlüsseltem WLAN. Man kann mit einfachsten Mitteln herausfinden, welche MAC-Adressen freigegeben sind und diese dann seinem Gerät geben.
MAC-Filter sind Pseudoschutz.
So als würde ich zusätzlich ein Zahlenschloß an meine Haustür machen und die Kombination bei jeder Eingabe laut rufen.
so ist es …
99,9% der WLAN-Nutzer können das nicht. Ihr schließt eure Tür doch auch ab, obwohl die einfach zu knacken ist.
@heldausberlin
Wenn das Dein Verständnis von Sicherheit ist … irgendwas zwischen Vorhängeschlossabschreckung und security by obscurity … bitteschön … who cares … meine Tür ist abgeschlossen und nicht einfach zu knacken.
Es geht nur um den MAC-Filter und dass der keinerlei zusätzlichen Schutz bietet.
Ein WPA verschlüsseltes WLAN mit einem langen und starken Passwort allein ist sicher. Da kenne ich keinen Weg rein.
Es gibt bei WPA 1 und 2 den theoretischen Weg, den 3Way Handshake zwischen Accesspoint und Client mit zu schneiden und diesen dann zu kacken, in dem man alle möglichen Passwörter ausprobiert.
Ein WPA Passwort ist zwischen 8 und 64 Zeichen lang. Zahlen, Buchstaben und Sonderzeichen sind möglich.
Da rechnet sich selbst die beste GPU nen Wolf.
Und auch wenn ich viel Geld investiere, um z.B. bei Amazon Rechenleistung zu mieten, sind die Aussichten auf Erfolg sehr gering.
Vor Jahren gab es eine Schwäche bei der Umsetzung von WPS. Die dürfte aber mittlerweile auf allen Geräten per Firmware-Update gefixt worden sein.
Für WPA3 ist mir gar kein Weg bekannt, um unberechtigt Zugang zu bekommen.
Muss man dafür als Angreifer nicht im selben wlan sein ?
@navi, das ist korrekt.
Wie sich hier manche als Hacker aufplustern, ist schon lustig anzuschauen.
Natürlich kann man MACs spoofen, aber ohne das PW zu haben, nutzt das mal gleich gar nichts.
Und wer meint, weil er Zugang zu meinem Gastnetz hat, sich dort über meine Regeln hinwegsetzen zu können, indem er mit MAC-Spoofern rumspielt, wird schnell sehen, wie weit er damit kommt. Spoiler; nicht sehr weit.
Für das Haupt-WLAN, in dem wie beim Poster oben verschiedene Nummernblöcke für verschiedene Funktionen/Rollen vergeben werden, spielt das aber nur eine geringe Rolle, denn da kommt kein Haushaltsfremder rein. Die VLANs sind dicht.
Die bekannten und erlaubten Nutzer müssen die MAC-Rotations-Funktion deaktivieren, wenn sie auch Internet nutzen möchten. Sonst kommen sie in den IoT-Nutzerblock, und da gibt es strikte Einschränkungen für die gängigen Protokolle. So what…
Schön, das in sehr vielen Firmennetzen aufgrund der MAC-Adresse der Zugang zum Netz auf unterster Ebene gewährt wird und daraufhin auch eine IP-Adresse vergeben wird (wenn man das richtige Zertifikat hat).
Was für ein Schwachsinn!
Warum gleich so aggro? In Firmennetzwerken, die den Zugang über Zertifikat sichern, sollte der Admin in der Lage sein, bei „seinen“ iPhones dieses Feature zu deaktivieren.
Für Privat Nutzer ist das doch überhaupt kein Problem! 98 % davon wissen sowieso nicht mal was eine Mac Adresse ist. Denen ist es völlig egal.
Welchen Vorteil bringt das im Heimnetzwerk? Wird die Mac Adresse im Internet fürs Tracking genutzt? Ich dachte, hier wären Cookies das Mittel?
Keine
MAC Adressen werden nicht über Router weitergeleitet. Über MAC Adressen werden Punkt-zu-Punkt Verbindungen innerhalb eines Subnetzes hergestellt. Sobald ein Paket das Subnetz verlässt, wird anstelle der MAC des eigenen Geräts das des Routers eingesetzt und dieser kommuniziert mit dem nächsten.
Im Internet werden IPs und/oder Cookies zum Tracking eingesetzt, wobei du nat. nur über Cookies die Macht hast.
Hier im Artikel geht es zB um Nutzerprofile im Supermarkt, Hotel, Restaurant etc.
Ist mehr für Öffentliche Hotspots gedacht.
Gleich fürs Heimnetz deaktivieren, wenn MAC-Adressfilter aktiv.
Oder ist das eventuell sogar nur global einstellbar?
Per wlan konfigurierbar
Wenigstens etwas.
Danke!
Freu mich auch schon darauf, hab bewusst zuhause den MAC Filter an.
Wenn das Deaktivieren bei der Watch wenigstens funktionieren würde. Sobald am Phone von 5 auf 2,4 GHz gewechselt wird vergisst die Watch die Einstellung und schon ist ein „neues“ Gerät im Netzwerk. -,-
Das Wechseln der MAC von der AW ist fürchterlich andauern meldet mir Unifi ein neues Gerät, weil die Uhr nicht mehr erkannt wird.
Aus meiner Sicht wäre es sogar sinnvoll, wenn die Watch diese Einstellung vom iPhone übernehmen würde (also private Adresse auf dem iPhone aus damit auch auf der Watch aus). Ich brauche das in den wenigsten Fällen, und das immer auf dem iPhone UND auf der Watch ausschalten zu müssen, nervt.
Überhaupt ist das Feature schlecht umgesetzt. Warum gibt es nicht schon beim Eingeben des Passworts beim Verbinden eines neuen WLANs direkt eine Option, das auszuschalten?
Schreibe es ins Feedback Programm, ggf Apple etwas. Dafür sind die Betas ja da :)
Funktioniert die dauerhafte Abschaltung inzwischen bei der Apple Watch? Das war jahrelang defekt.
Ist auf jeden Fall bei mir besser geworden, ja
Ich will es überhaupt nicht haben. Das geht schon in Richtung Paranoia. Ja, zu seltenen Gelegenheiten ist das gut, aber sonst erschwert es einiges.
Dann schalte es halt aus.
Hoffentlich wird es nicht standardmäßig eingeschaltet
@Devil
Artikel sagt:
„Sowohl unter iOS 18 als auch in macOS 15 Sequoia wird die neue Datenschutz-Funktion standardmäßig aktiviert sein, diese lässt sich bei Bedarf aber auch ausschalten.“
ja, das wird das eine oder andere komplizierter machen, wobei sich die Komplexität in Grenzen hält. Man muss halt bei jedem neuen WLan einmal entscheiden, ob man diese Funktion ausschaltet oder nicht.
Aber bitte nicht auf Apple eindreschen, Schuld für den Mist sind die Unternehmen, die Nutzer anhand von MAC Adressen ausspähen!
ich gebe auch nicht dem Fahrradhersteller die ‚Schuld‘ dass ich mein Fahrradschloss abschließen muss, sondern den potentiellen Dieben!
Wie sieht es eigentlich mit der gesamten HomeKit Geräten etc dann aus? Wird dann alles weiterhin „normal“ funktionieren oder werden die Geräte nicht mehr auffindbar ? Bei vielen habe ich eine statische/fixe Adresse beim Router zugewiesen damit sie von der homebridge und HomeKit ohne Probleme gefunden und gesteuert werden können (zB alle Shelly Dimmer)..
Da ändert sich nichts. Nur Dein(e) iPhone(s) erscheinen alle zwei Wochen wie ein neues Gerät.
Kann man aber auch für Dein Home-WLAN deaktivieren, ist hauptsächlich zur Benutzung in öffentlichen WLANs gedacht, damit keiner Dich Verfolgen kann.
Alles klar.. danke dir
Bei uns hat Junior recht schnell herausgefunden, dass sich damit die Zeitkontingente der FritzBox prima umgehen lassen :-)
Das kannst du aber unterbinden, wenn du dich damit auseinander setzt.
Ich muss gestehen, ich habe es mir noch nicht genauer angeschaut, aber wie verhält es sich mit dem Hostnamen á la „KaroX’s iPhone“? Wird dann dafür der Hostname auch pseudonymisiert (Hostname = MAC-Adress)?
Leute sowas bringt was in öffentlichen WLAN (Bahn, Flughafen, Hotels). In Firmen und zu Hause braucht man so was nicht.
Nur weil du das so bestimmst? Hier wird das ganz sicher gebraucht.
Bitte, „Tellerrand“ und so…