'Wachtwoorden iCloud-accounts via brute-force-aanval te achterhalen'

Afgelopen weekend verscheen een Python-script online waarmee het mogelijk was om de brute-force-aanvallen uit te voeren, ontdekte The Next Web als eerste. Dat kwam doordat de api van de Find My iPhone-dienst bescherming tegen brute-force-aanvallen ontbeerde. Inmiddels heeft Apple het beveiligingsprobleem opgelost. Een test van Tweakers wijst uit dat een aanval nu na circa dertig pogingen wordt afgeslagen. Het aangevallen iCloud-account wordt dan op slot gezet.

Bij brute-force-aanvallen probeert een aanvaller een groot aantal wachtwoorden geautomatiseerd uit. Hoewel de kwetsbaarheid zich bevond in de Find My iPhone-dienst van Apple, zou een aanvaller met het achterhaalde wachtwoord vervolgens kunnen inloggen op andere diensten van Apple, zoals iCloud. Het is niet bekend hoe lang het beveiligingsprobleem precies bestond.

Een aanvaller zou dan toegang tot iemands persoonlijke bestanden kunnen krijgen, zelfs als hij of zij two factor authentication heeft ingeschakeld. Daarbij moet iemand bij het inloggen niet alleen een wachtwoord invoeren, maar ook een code die wordt verzonden per sms of door een app wordt gegenereerd. Vorig jaar ontdekte een beveiligingsonderzoeker dat het protocol van Apple dat wordt gebruikt voor iCloud-backups geen ondersteuning voor two factor authentication heeft: een aanvaller zou die backups dus met enkel een wachtwoord kunnen achterhalen. Er is zelfs een tool op de markt die dat automatiseert.

De kwetsbaarheid in Find My iPhone komt aan het licht op het moment dat naaktfoto's van meerdere celebrities, waaronder Jennifer Lawrence, Kate Upton en Selena Gomez, op internet zijn verschenen, schrijft onder andere BBC. Het gerucht gaat dat die foto's zijn buitgemaakt uit iCloud, maar dat is nog niet bevestigd. Het is dus niet bekend of er een verband bestaat met de kwetsbaarheid.