Apple’s tweestapsverificatie toch niet zo veilig

Apple's tweestapsverificatie blijkt niet zo veilig. Een hacker laat zien dat vijf diensten van Apple werken zonder de extra beveiliging.

photosharing-icloudWat moet je doen als je je iTunes-account wilt beschermen? Tweestapsverificatie inschakelen natuurlijk! Het is het standaardadvies voor mensen die bang zijn dat hun iTunes-account, iCloud of Apple ID gehackt wordt. Dat Apple tweestapsverificatie beschikbaar stelt is een grote sprong vooruit. Maar 100% veilig is het niet.


Heb je eenmaal tweestapsverificatie ingericht, dan gebruikt Apple de combinatie van gebruikersnaam en wachtwoord en een vertrouwd apparaat (meestal een iPhone) om te bepalen of jij de werkelijke eigenaar bent. Apps van derden kunnen er ook gebruik van maken, maar je moet daarvoor wel een apart wachtwoord per app instellen. Het systeem werkt met een herstelcode die je veilig moet opbergen. Klinkt allemaal erg goed, maar volgens Dani Grant is het systeem niet erg consequent. In de blogposting ‘Why Two-Factor Authentication Isn’t Protecting Your Apple Account’ legt Grant uit dat veel apps die data met je iCloud-account uitwisselen geen gebruik maken van de tweestapsverificatie.

https://www.youtube.com/watch?v=IKKZfZUqk3I

Lees ook: Tweestapsverificatie instellen voor iCloud, iTunes en Apple ID

Er zitten dus gaten in het systeem, notabene in Apple’s eigen diensten zoals iMessage, FaceTime en de App Store. Daarmee kun je inloggen zonder de tweestapsverificatie te moeten gebruiken.

Met alleen een wachtwoord kan ik me voordoen als iemand anders en een iMessage vanuit zijn/haar account sturen. Met alleen het wachtwoord kan ik iemands factuuradres, type creditcard, de vier laatste cijfers van de creditcard en het telefoonnummer in de iTunes-instellingen zien. Bovenaan die pagina staat trots ‘Secure Connection’.

Het is inmiddels vier maanden geleden dat Tim Cook beloofde dat de beveiliging van iCloud-accounts zou verbeteren, onder andere met waarschuwingen per e-mail als iemand op jouw account heeft ingelogd. Ook werd tweestapsverificatie voor iCloud ingevoerd, maar het geldt dus nog lang niet voor alle diensten. Vijf Apple-diensten zijn nog onbeschermd. Zo kun je op een onbekende Mac inloggen op iMessage, iTunes, FaceTime, de App Store en de Apple-website. Alleen bij FaceTime ontving Grant een e-mailnotificatie.

Lees ook: Bewaar de herstelcode van je Apple ID

Bij de naaktfoto’s van beroemdheden die via iCloud waren gelekt, was trouwens geen sprake van haperende tweestapsverificatie. Daar was een combinatie van phishing en het gebruik van gemakkelijk te raden wachtwoorden de vermoedelijke boosdoener. Bij bekende mensen kan het ook zijn dat de beveiligingsvragen (‘favoriete huisdier’, ‘achternaam van je moeder’) gemakkelijk te raden zijn.

Lees ook: Apple laat je app-specifiek wachtwoord voor iCloud instellen

Reacties: 4 reacties

Reacties zijn gesloten voor dit artikel.