Apple’s tweestapsverificatie beschermt iCloud-backups niet

Apple's tweestapsverificatie is onveilig, zegt ElcomSoft. Voor de toegang tot iCloud-backups heb je alleen Apple ID en wachtwoord nodig, net als vroeger. Ook kun je backups terugzetten op een niet-vertrouwd apparaat.

Gonny van der Zwaag | iCulture.nl - 31 mei 2013, 8:13
· Laatst bijgewerkt: 4 september 2014, 13:08

Apple heeft tweestapsverificatie ingevoerd (maar nog niet in Nederland), om te zorgen dat je Apple ID minder snel in verkeerde handen valt. Zodra je je wachtwoord opnieuw wilt instellen, is het niet meer voldoende om antwoord te geven op een paar algemene vragen, zoals: “Wat was de naam van je eerste huisdier?” Je ontvangt ook een verificatiecode op een vertrouwd apparaat, zoals je iPhone of iPad. Apple is nog maar net begonnen met tweestapsverificatie, maar volgens securitybedrijf ElcomSoft is er nu al iets mis. Zij ontdekten dat je een iOS-backup kunt terugzetten op een nieuw, niet-vertrouwd apparaat. Ook is Apple’s tweestapsbeveiliging niet van toepassing op iCloud-backups, waardoor je met alleen een Apple ID en wachtwoord toegang kunt krijgen tot informatie op iCloud.

Lees ook: Tweestapsverificatie instellen voor iCloud, iTunes en Apple ID

Het is gemakkelijk zelf te controleren als je al tweestapsverficatie hebt ingeschakeld en daarna inlogt op de iCloud-website. Meer dan een Apple ID en een wachtwoord heb je niet nodig. Vervolgens heb je toegang tot alle informatie die Apple op iCloud bewaart. Een extra autorisatiecode is niet nodig. Volgens ElcomSoft is het een slordigheid van Apple, want iCloud-informatie wordt vaak misbruikt. Eerder deze week maakten we een lijst van allerlei Apple-diensten die afhankelijk zijn van het Apple ID en daarbij bleek dat zo’n 13 online diensten ervan afhankelijk zijn. Van Herinneringen tot Mail en van Documents in the Cloud tot iTunes Match.

Heel wat bedrijven zijn overgestapt op tweestapsverificatie, zoals Google en recent Evernote en Twitter. Laatstgenoemde bedrijven hadden beide al te maken met gehackte accounts. Ook Apple had regelmatig te maken met gehackte iTunes-accounts en privacyproblemen. “Apple’s benaderin in implementatie van two-factor authorization ziet er niet uit alsof het af is”, schrijft Vladimir Katalov van ElcomSoft in zijn rapport. Het bedrijf downloadde een backup met behulp van de inloggegevens, zonder daarbij een vertrouwd apparaat of een extra code nodig te hebben. Het fysieke apparaat waarvan de backup afkomstig was, was ook niet nodig. Daarna kon ElcomSoft de backup terugzetten op een totaal nieuw apparaat.

Nog een ander beveiligingsprobleem is dat Apple de codes voor de tweestapsverificatie op je lockscreen toont, zonder dat je de pincode hoeft in te tikken. Daardoor kan iemand na diefstal van de iPhone de verificatiecode gebruiken, zonder toegang te hebben tot je toestel. Je kunt dit oplossen door de voorvertoning van SMS en iMessage uit te schakelen.

Officieel is de tweestapsverificatie van Apple beschikbaar in de Verenigde Staten, Verenigd Koninkrijk, Australië, Ierland en Nieuw-Zeeland. In Nederland, België, Duitsland, Oostenrijk, Rusland, Portugal, Italië, Polen, Mexico en Brazilië komt het spoedig beschikbaar. In Nederland was de optie voor tweestapsverificatie al even zichtbaar (via appleid.apple.com > Wachtwoord en beveiliging), maar bleek een wassen neus: het cruciale onderdeel om codes via SMS te ontvangen werkte nog niet.

Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!