Een kwetsbaarheid in de AirPort-routers van Apple waardoor gegevens van de gebruiker konden lekken is na 329 dagen gepatcht. Donderdag kwam Apple met een firmware-update die in totaal acht lekken verhielp. Eén van de kwetsbaarheden betrof een probleem met de fabrieksreset van de router.
Daardoor kon een nieuwe eigenaar van een gebruikte AirPort nog allerlei gegevens van de vorige eigenaar vinden. Volgens Apple zouden bij een fabrieksreset alle opgeslagen configuraties en profielen moeten worden verwijderd. Onderzoeker Joshua Stein ontdekte dat dit niet het geval is. Het configuratiebestand met gebruikersgegevens wordt namelijk naar een nieuwe locatie op het apparaat verplaatst.
Hierdoor kon een nieuwe eigenaar van een gebruikte AirPort, waar een fabrieksreset op is uitgevoerd, nog steeds de vorige wifi-naam, wpa2-sleutel, het Apple ID van de vorige eigenaar, het "infinite access token" tot dit Apple ID wanneer Back to my Mac stond ingeschakeld en andere zaken achterhalen.
Stein waarschuwde Apple op 4 juli 2018 en had begin dit jaar contact met het bedrijf. De engineers die Stein sprak konden echter geen informatie geven over de toegang die via het infinite access token kan worden verkregen. Uiteindelijk kwam Apple op 30 mei met de patch die het probleem verhelpt. De gehele flashopslag wordt nu gewist. Apple besloot vorig jaar april te stoppen met het aanbieden van de AirPort-routers.
Deze posting is gelocked. Reageren is niet meer mogelijk.