“‘Apple dicht lek dat iCloud kwetsbaar maakte voor brute force-aanvallen'”

0
338

Een ontwikkelaar die schuilgaat onder de naam Pr0x13 heeft een tool ontwikkeld die met een brute force-aanval probeert om iCloud-wachtwoorden te achterhalen. De tool zou werken ondanks dat Apple hiervoor beveiliging heeft ingebouwd. Inmiddels zou het probleem alweer verholpen zijn.

Apple heeft zelf niets naar buiten gebracht over het beveiligingslek, maar de tool van Pr0x13 zou inmiddels al niet meer werken wat suggereert dat het bedrijf de problemen heeft verholpen. Op zijn Github-pagina heeft de ontwikkelaar code online gezet waarmee aanvankelijk de beveiliging in iCloud om brute force-aanvallen tegen te gaan zou zijn te omzeilen. De maker noemt de bug die dat mogelijk maakte ‘pijnlijk voor de hand liggend’.

Het is onduidelijk of in de korte tijd dat de tool, die de naam iDict draagt, heeft gewerkt en er gegevens van iCloud-gebruikers zijn buitgemaakt. Op sociale-netwerksites zoals Twitter en Reddit werd gemeld dat iDict functioneert zoals beschreven, wat het aannemelijk maakt dat er data is gestolen. Inmiddels wordt dus gemeld dat de tool juist niet meer werkt.

Om met iDict te werken moesten gebruikers wel weten welk e-mailadres er bij het te hacken iCloud-account hoorde, zo meldt Business Insider. Vervolgens probeert de tool een lijst met 500 veelvoorkomende wachtwoorden. Om die reden is niet elk account kwetsbaar: als het gebruikte wachtwoord niet op de lijst staat kan iDict niet inbreken. Wel zou de tool gemakkelijk voorzien kunnen worden van een langere lijst met mogelijke wachtwoorden.

Er was eerder al kritiek op Apple vanwege de gevoeligheid van iCloud voor brute force-aanvallen. De kwetsbaarheid hield in dat gebruikers ongelimiteerd wachtwoorden konden raden voor iCloud. De bug kwam naar buiten toen bleek dat er foto’s uit iCloud-accounts van Amerikaanse actrices en andere beroemdheden waren gestolen. Apple nam toen maatregelen, maar deze konden dus blijkbaar worden omzeild.