Kwetsbare iCloud is te gebruiksvriendelijk

Apple repareerde een knullige kwetsbaarheid in iCloud die wellicht tot het lekken van foto’s van beroemdheden heeft geleid. Je Apple-account is inmiddels wel beter te beschermen – en het is de hoogste tijd dat te doen.

Toeval of niet? Een hacker zegt compromitterende foto’s van beroemdheden te hebben, afkomstig uit gekraakte iCloud-accounts. In hetzelfde weekeinde repareert Apple een kwetsbaarheid in iCloud, de synchronisatiedienst voor foto’s, video’s en berichten waar meer dan 300 miljoen mensen gebruik van maken.

De bewuste kwetsbaarheid zat in de Apple-dienst Find My Phone, waarmee je de locatie van je toestel kunt achterhalen. Dit onderdeel van de iCloud was niet goed beschermd tegen software die geautomatiseerd veelgebruikte wachtwoorden uitprobeert. Dankzij dit enigszins knullige gebrek konden kwaadwillenden de toegang forceren tot zwak beveiligde Apple-accounts.

„Ik heb Apple daarvoor in juni al gewaarschuwd”, zegt de Nederlandse hacker AquaXetine. Hij vond een manier om de diefstalbeveiliging van iTunes te omzeilen en gebruikte daarvoor ook Find My Phone, die herhaald inloggen mogelijk maakt – „duizenden keren achter elkaar”, aldus de hacker, die zelf betrokkenheid ontkent. Hij kreeg in juni wel een reactie van Apple, maar het bedrijf zou „niet betalen voor het veiligheidsadvies”.

De code voor die zogeheten brute force-aanval werd twee dagen geleden op het web gepubliceerd; daarna beperkte Apple de inloglimiet op Find My Phone tot 20 pogingen. Nu is het afvuren van veelgebruikte wachtwoorden niet meer mogelijk.

Voor alle duidelijkheid: het staat nog niet vast dat de beelden daadwerkelijk via iCloud zijn uitgelekt. Het zou ook kunnen dat de foto’s – als ze al echt zijn – via een gestolen telefoon, ontfutselde wachtwoorden of diensten als Dropbox of Google+ zijn uitgelekt. Dat wordt duidelijk als Apple commentaar geeft.

Laagdrempelig

Apple wil zijn dienst laagdrempelig houden en dat komt niet altijd ten goede van de veiligheid. Alle activiteiten en back-ups zijn gebundeld in één Apple ID, vaak gekoppeld aan creditcardgegevens en de automatische koopknop voor de online Apple-winkels. Het officiële advies luidt om je primaire mailadres te gebruiken omdat dat „makkelijker te onthouden is”. Maar het lijkt verstandig om voor je Apple ID een minder voorspelbaar adres te gebruiken.

Nog een punt waarin Apple gebruiksvriendelijkheid boven veiligheid stelt: het gebruik van controlevragen. Een volhouder zal je iCloud-wachtwoord kunnen resetten door antwoord te geven op vragen als ‘wat is de achternaam van je moeder’, ‘wat is je favoriete leraar’ of ‘in welke straat werd je geboren?’ Dit soort gegevens zijn, zeker bij beroemdheden, makkelijker te achterhalen. Ook bij gewone gebruikers levert Facebook al een schat aan informatie op.

Apple is in Nederland net begonnen met dubbele authenticatie. Dat is een extra beveiliging die ervoor zorgt dat een ander niet bij jouw gegevens kan, zelfs al beschikt hij of zij over je inlognaam en wachtwoord. Er is namelijk een extra persoonlijke code nodig, afkomstig van een sms’je of een app op je telefoon.

Het is niet zo eenvoudig dit extra slot op de deur te activeren; je moet je in de instellingen van je Apple ID (appleid.apple.com) door heel wat waarschuwingen heenworstelen om uiteindelijk je cloud te beveiligen.

Concurrenten als Google en Microsoft gebruikten dubbele authenticatie al langer. Maar geen van de grote Amerikaanse webbedrijven verplicht zijn gebruikers dat ze hun data met het extra slot beschermen. Dat zou een hoop berichten over gestolen wachtwoorden schelen.

Backups

De rel rondom de naaktfoto’s toont aan dat je voorzichtig, of in ieder geval bewust om moet gaan met de gratis automatische bewaardiensten op smartphones. Ze geven een vals gevoel van veiligheid: je verkleint de kans dat je bestanden kwijt zult raken, maar je vergroot de kans dat je de controle verliest.

Garantie of schadevergoeding voor dataverlies is er niet, blijkt uit de voorwaarden van in dit geval iCloud: „Apple does not guarantee or warrant that any Content you may store or access through the Service will not be subject to inadvertent damage, corruption or loss.”