Onderzoeker: ‘iCloud Keychain is kwetsbaar door tweefactorauthenticatie’

iCulture bezocht de Hack in the Box-conferentie en hoorde daar hoe de iCloud Keychain kwestbaarheden bevat, zelfs als je tweefactorauthenticatie hebt ingeschakeld. Wat is er aan de hand en hoe bescherm je jezelf bijvoorbeeld als je naar de VS reist?

Paul Pols - 14 april 2017, 14:32
· Laatst bijgewerkt: 27 februari 2018, 13:55

Volgens het Russische forensische onderzoeksbedrijf ElcomSoft heeft Apple met de introductie van tweefactorauthenticatie (2FA) een kwetsbaarheid geïntroduceerd in de toegang tot de iCloud Sleutelhanger (Keychain). Dit maakte het bedrijf bekend op de hackersconferentie Hack in the Box, waar iCulture bij aanwezig is. Maar wanneer kan deze kwetsbaarheid misbruikt worden en hoe bescherm jij je hiertegen?

Tweefactorauthenticatie instellen voor je Apple ID en iCloud.

Tweefactorauthenticatie als reactie op publicatie naaktfoto’s sterren
De introductie van tweefactorauthenticatie volgde op de veelbesproken publicatie van naakfoto’s van bekende sterren. De naaktfoto’s werden gestolen met behulp van ElcomSoft’s Phone Breaker, waarmee onder andere gegevens uit Apple’s iCloud kunnen worden gedownload. Destijds hoefden aanvallers daarvoor alleen de gebruikersnaam en het wachtwoord van de sterren te achterhalen door middel van phishing. Als tweefactorauthenticatie is ingeschakeld, dan moet daarnaast tegenwoordig een authenticatie-token bemachtigd worden. Het authenticatie-token wordt opgeslagen op een computer wanneer deze door een iPhone of iPad wordt vertrouwd. Het authenticatie-token biedt toegang tot de gegevens die beschikbaar zijn in iCloud, waaronder gegevens van Safari, kalenders, notities, contacten, gesprekken en applicaties.

Inschakelen tweefactorauthenticatie maakt ook iCloud keychain kwetsbaar
Het inschakelen van tweefactorauthenticatie biedt helaas niet alleen maar voordelen. In een presentatie op de hackersconferentie Hack in the Box presenteerde ElcomSoft CEO Vladimir Katalov de details van de kwetsbaarheid. Als iemand toegang kan krijgen tot het authenticatie-token dat op een vertrouwde computer is opgeslagen, dan kan daarmee ook de inhoud van de iCloud Keychain ongemerkt worden gestolen. De iCloud Keychain kan worden gebruikt om wachtwoorden op te slaan en zou beter beveiligd moeten zijn dan andere data in iCloud. De meldingen die een gebruiker normaliter ontvangt als een nieuw apparaat toegang probeert te verkrijgen tot iCloud worden in dit geval niet verzonden.

ElcomSoft: ‘Methode wordt waarschijnlijk gebruikt aan de Amerikaanse grens’
De iCloud Keychain-kwetsbaarheid wordt volgens de CEO van ElcomSoft in de praktijk waarschijnlijk misbruikt als reizigers de Amerikaanse grens passeren. Reizigers kunnen de vraag krijgen of ze elektronica zoals hun iPhone, iPad of laptop willen overhandigen. Volgens data van het Department of Homeland Security werden alleen in 2016 al bijna 25.000 mobiele telefoons aan de Amerikaanse grens onderzocht; een vervijfvoudiging ten opzichte van 2015. Door de kwetsbaarheid kan bij een dergelijk onderzoek een kopie worden gemaakt van een iPhone of iPad, waarbij ook toegang kan worden verkregen tot alle wachtwoorden in de iCloud keychain. Daarvoor hebben de ambtenaren wel toegang nodig tot een ontgrendelde vertrouwde laptop, waarop een authenticatie-token aanwezig is.

Volgens Katalov is er ook geavanceerde malware in omloop voor macOS, waarmee het authenticatie-token op afstand kan worden gestolen door kwaadwillenden.

Hoe jij je kunt beschermen tegen de iCloud Keychain 2FA-kwetsbaarheid

We kregen de kans om Vladimir Katalov te interviewen tijdens de Hack in the Box-conferentie en we vroegen hem naar tips hoe je je als gebruiker kunt beschermen tegen ongeautoriseerde toegang tot gegevens in Apple’s iCloud in het algemeen en specifiek tot de iCloud Keychain. Dit blijkt heel eenvoudig. Door uit te loggen uit iCloud op je laptop voordat je de grens over gaat kun je het opgeslagen authenticatie-token ongeldig maken, waardoor deze niet meer misbruikt kan worden om toegang tot iCloud (Keychain) te verkrijgen. Een andere mogelijkheid is om de hoeveelheid gegevens die wordt opgeslagen in iCloud te beperken vanaf je iPhone of iPad, waarbij bestaande gegevens nog wel een beperkte periode in iCloud zullen blijven staan.

Daarnaast raadt Katalov gebruikers aan om een uniek wachtwoord in te stellen voor het maken van versleutelde backups. Zelfs als iemand toegang krijgt tot het authenticatie-token op een computer én ook fysieke toegang heeft tot de iPhone, kan in dat geval alleen een versleutelde backup van je iPhone worden gemaakt. Sinds iOS 10.2 is heeft Apple het kraken van een backupwachtwoord erg moeilijk gemaakt, waardoor je gegevens inhoudelijk dan niet toegankelijk zijn.

Een uniek wachtwoord dat niet voorkomt in woordenlijsten en dat langer is dan 5 karakters zou volgens Katalov daardoor al volstaan als backupwachtwoord. Of deze tips ook in de toekomst genoeg bescherming bieden moet nog blijken. Zo zou de regering Trump overwegen om internationale reizigers gewoon naar hun wachtwoorden te vragen aan de Amerikaanse grens.

Bekijk ook

iCloud Sleutelhanger (Keychain): alles over wachtwoorden beheren op iOS en macOS

iCloud Sleutelhanger (Keychain) is Apple's oplossing om wachtwoorden te beheren op de iPhone, iPad en Mac. Je kunt ze gemakkelijk invullen in apps en op het web. In deze uitleg lees je alles over iCloud Sleutelhanger.

Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Het laatste nieuws over Apple van iCulture

iCloud

Alles over iCloud, de online opslagdienst van Apple waarmee je apps kunt synchroniseren en bestanden kunt opslaan. Maar iCloud biedt meer dan alleen online opslag en synchronisatie. Met de betaalde iCloud+ dienst krijg je extra functies, zoals het verbergen van je e-mailadres en privédoorgifte. Je kunt 5GB tot 12TB iCloud-opslag krijgen. Al onze belangrijke informatie over iCloud op een rijtje!