Naaktfoto’s beroemdheden gelekt. Hoe veilig is Apple’s iCloud?

epa03949687 US actress Jennifer Lawrence poses during the photocall for 'The Hunger Games: Catching Fire' at the 8th annual Rome Film Festival, in Rome, Italy, 14 November 2013. The movie is presented out of competition at the festival that runs from 08 to 17 November. EPA/CLAUDIO ONORATI Foto ANP

Toeval of niet? Een hacker zegt compromitterende foto’s van beroemdheden te hebben, afkomstig uit gekraakte iCloud-accounts. In hetzelfde weekeinde repareert Apple een kwetsbaarheid in iCloud, de synchronisatiedienst voor foto’s, video’s en berichten waar meer dan 300 miljoen mensen gebruik van maken.

De bewuste kwetsbaarheid zat in de Apple-dienst Find My Phone, waarmee je de locatie van je toestel kunt achterhalen. Dit onderdeel van de iCloud was niet beschermd tegen software die geautomatiseerd veelgebruikte wachtwoorden uitprobeert. Dankzij dit enigszins knullige gebrek konden kwaadwillenden de toegang forceren tot zwak beveiligde Apple-accounts.

Apple had het kunnen weten

“Ik heb Apple daarvoor in juni al gewaarschuwd”, zegt de Nederlandse hacker AquaXetine. Hij vond een manier om de diefstalbeveiliging van iTunes te omzeilen en gebruikte daarvoor ook Find My Phone, die herhaald inloggen mogelijk maakt – “duizenden keren achter elkaar”, aldus de hacker die zelf betrokkenheid ontkent. Hij kreeg in juni wel een reactie van Apple maar het bedrijf wilde niet betalen voor het ‘veiligheidsadvies’.

De code voor die zogeheten brute force-aanval werd twee dagen geleden op het web gepubliceerd; daarna beperkte Apple de inloglimiet op Find My Phone tot 20 pogingen. Nu is het afvuren van veelgebruikte wachtwoorden niet meer mogelijk.

Voor alle duidelijkheid: het staat nog niet vast dat de beelden via iCloud zijn uitgelekt. Het zou ook kunnen dat de foto’s – als ze al echt zijn – via een gestolen telefoon, ontfutselde wachtworden of via diensten als Dropbox of Google+ zijn uitgelekt – die worden vaak standaard meegeleverd met Android-smartphones. Dat wordt pas duidelijk als Apple commentaar geeft, maar tot nu toe zwijgt het bedrijf in alle talen.

Waarom loop je met iCloud risico?

1. Alles is gekoppeld aan hetzelfde Apple ID

Apple wil zijn dienst laagdrempelig houden. Dat komt niet altijd ten goede van de veiligheid. Alle activiteiten, gesynchroniseerde apparaten en backups zijn gekoppeld aan één Apple ID, vaak met credit card en een automatische koopknop voor de online Apple-winkels. Het officiële advies luidt je primaire mailadres te gebruiken omdat dat “makkelijker te onthouden is”. Maar het lijkt verstandig om voor je Apple ID juist een minder voorspelbaar adres te gebruiken.

2. De controlevragen zijn simpel te beantwoorden

Nog een punt waarin Apple gebruiksvriendelijkheid boven veiligheid stelt: het gebruik van controlevragen. Een volhouder zal je iCloud-wachtwoord kunnen resetten door antwoord te geven op vragen als ‘wat is de achternaam van je moeder’, ‘wat is je favoriete leraar’ of ‘ In welke straat werd je geboren?’ Dit soort gegevens zijn, zeker bij beroemdheden, makkelijker te achterhalen. Ook bij gewone gebruikers levert Facebook al een schat aan informatie op.

3. Dubbele authenticatie wordt niet makkelijk gemaakt

Apple is in Nederland pas afgelopen zomer met dubbele authenticatie begonnen. Dat is een extra beveiliging die ervoor zorgt dat een ander niet bij jouw gegevens kan, zelfs al beschikt hij of zij over je inlognaam en wachtwoord. Er is namelijk een extra code nodig, afkomstig van een sms-je of een app op je telefoon.

Het is nog niet zo eenvoudig dit extra slot op de deur te activeren; je moet in de instellingen van je Apple ID door heel wat waarschuwingen heenworstelen om uiteindelijk je cloud te beveiligen.

Concurrenten als Google en Microsoft gebruikte dubbele authenticatie al langer voor hun synchronisatie- en opslagdiensten. Maar geen van de grote Amerikaanse webbedrijven verplicht zijn gebruikers dat ze hun data met het extra slot beschermen. Dat zouden ze wel moeten doen.

4. Als er iets misgaat: Apple neemt geen verantwoordelijkheid

De rel rondom de naaktfoto’s toont aan dat je voorzichtig – of in ieder geval: bewust – om moet gaan met de gratis automatische bewaardiensten die op bijna elke smartphone zitten. Ze geven een vals gevoel van veiligheid: je verkleint de kans dat je bestanden kwijt zult raken, maar je vergroot de kans dat je de controle verliest over die bestanden.

Garantie of schadevergoeding voor dataverlies is er niet, blijkt uit de voorwaarden van in dit geval iCloud:

“Apple does not guarantee or warrant that any Content you may store or access through the Service will not be subject to inadvertent damage, corruption or loss.”