Hoe makkelijk is Apple iCloud te kraken?

Volgens Nederlandse hackers heeft Apple zijn online-synchronisatiedienst iCloud, met wereldwijd meer dan 300 miljoen gebruikers, slecht beveiligd. Gestolen iPhones en iPads blijken simpel gedeblokkeerd te kunnen worden. Maar zijn je gegevens wel veilig?

Twee hackers opererend onder de naam Doulci bouwde een nepserver die het activatieproces van iTunes nabootst. Dat is de software die Apple gebruikt om de identiteit van de gebruiker en diens sim-kaart te controleren. Als je toestel gestolen wordt kun je de gegevens wissen of het toestel blokkeren via de Zoek mijn iPhone-dienst. Maar via de nepserver is het mogelijk een geblokkeerde of gestolen iPhone en iPad te resetten en door te verkopen als een nieuw toestel. Dan is het toestel veel meer waard.

De nepserver is nu weer uit de lucht – een van de hackers gooit ‘m af en toe online om de werking te demonstreren –  en de hackersgroep wordt continu belaagd door vermoedelijk helers die hun iPhones willen ‘unlocken’.  Op deze manier zijn al 35.000 toestellen gekraakt.

De hackers zeggen Apple van tevoren gewaarschuwd te hebben voor de kwetsbaarheid. Het bedrijf reageert nog altijd niet op vragen over deze kwestie. De nepserver gaat elke avond een uur online net zolang totdat Apple het lek bevestigt, meldt een van de hackers.  Volgens hem biedt iCloud nog meer zwakke plekken die hij vooralsnog niet openbaar maakt.

Wissen die handel

Alle data van een geblokkeerde telefoon wordt bij zo’n activatie gewist: de fabrieksinstellingen worden immers hersteld. Consumenten die hun iPhone of iPad kwijtraakten doen er sowieso goed aan hun iCloud-account te wissen – nadat gegevens verplaatst zijn naar een veilige plek. 

Je zou persoonlijke gegevens wel op een andere manier kwijt kunnen raken. Volgens veiligheidsspecialist Mark Loman van het bedrijf SurfRight blijkt dat de digitale certificaten die Apple gebruikt voor de communicatie  niet afdoende worden gecontroleerd. Ook ontdekte hij dat  iCloud-wachtwoorden niet goed versleuteld worden op de iTunes-server. Zo kan de nepserver  wachtwoorden van Apple-klanten achterhalen en alsnog toegang krijgen tot je account. Dat risico loop je als hackers je verlokken om, bijvoorbeeld via een openbaar wifi-netwerk, verbinding met iTunes te maken. Loman ontdekte die kwetsbaarheid bij het testen van de claim van de hackers, die via dagblad De Telegraaf de publiciteit zochten. Techsite Tweakers ziet een relatie met eerdere veiligheidslekken in iOS.

NB: Loman meldde aanvankelijk dat het mogelijk was om wachtwoorden ook aan geblokkeerde iPhones en iPads te ontfutselen, maar hij slaagt er niet in dat te reproduceren. Dat maakt het lek minder dringend.  Van een acute dreiging is dan ook geen sprake. Volgens de veiligheidsexpert is het niet eenvoudig om deze zogeheten man-in-the-middle attack uit te voeren en zelf een nepserver te bouwen die de communicatie tussen Apple en de gebruiker onderschept. 

Je moeder is

De iCloud beveiliging rammelde vaker. Apple schroefde in 2012 al eens de veiligheidsmaatregelen op toen het makkelijk bleek om wachtwoorden via de Apple hulplijn los te peuteren. Dubbele authenticatie, een extra beveiligingslaag via een sms-je,  wordt nog altijd niet in Nederland ondersteund.  iCloud-accounts worden hier nog afgeschermd met controlevragen als de naam van je leraar op de basisschool en de meisjesnaam van je moeder. Die informatie is vaak makkelijk te raden of op te zoeken door kwaadwillenden.