Reacties voor: OS X-beveiligingslek kan Apple ID in 10 seconden achterhalen
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
De Apple website zelf kun je ook via een beveiligde verbinding bezoeken: https://ssl.apple.com
In tegenstelling tot wat er in de laatste alinea wordt genoemd is het ten zeerste af te raden om gebruik te maken van VPN-diensten van bijv. Cloak omdat net zo onveilig of zelfs onveiliger is als het direct verbinden met het onbekende wifi netwerk. De VPN server ziet al het verkeer voorbij gaan en kan hiermee aan de haal en zelfs de informatie gewijzigd naar je toesturen. Dat maakt dit soort VPN-diensten uitermate geschikt als hackprooi.
Als het een VPN verbinding naar het werk of naar huis is dan ligt het verhaal iets anders omdat je daar een veel betere kijk op hebt dat er niets raars mee gebeurd. Dat is iets wat je totaal niet hebt bij die VPN-diensten van o.a. Cloak. Je moet ze maar op hun blauwe ogen geloven. Kortom, het advies in de laatste alinea slaat absoluut nergens op. Het is inmiddels schandalig dat het nog steeds wordt aangevoerd als alternatief terwijl er inmiddels al diverse malen is aangegeven dat dit helemaal niet het geval is!
Is dit alleen met OS-X devices of ook met IOS?
Pijnlijk, maar niet vreemd. Ook ML is gewoon software.
Ik vermoed dat het niets met OS X te maken heeft, maar met de techniek die gebruikt wordt om met een webbrowser in te loggen op de Apple website – met je Apple ID. Het kan vermoed ik ook misbruikt worden als je inlogt via bijv. Internet Explorer.
Bovendien kan het alleen misbruikt worden als je op een “door iemand anders aangepaste link” in bijv. een spam / e-mail klikt…
Het is dus ook geen “OS X beveiligingslek”, maar een lek in de Apple-ID webserver.
@Gonny, heb je het zelf uitgeprobeerd? Als je je verdiept in de materie dan weet je dat apple gebruik maakt van SSL. De methode die shootitlive omschrift werkt dus niet. Dat ze vertellen dat ze de te doorlopen stappen verwijderd hebben om te voorkomen dat er misbruik van wordt gemaakt is ook gewoon een leugen. Ze kwamen er waarschijnlijk achter dat hun bevindingen niet kloppen. ter info bij een inlog procedure met je apple id verloopt de verbinding via ssl en vindt er een tweeweg controle plaats:
Bron wikipedia:
– Ten eerste wordt de gevonden server door middel van een certificaat dat berust op asymmetrische cryptografie, of meer specifiek een public key, geauthentiseerd zodat de gebruiker zeker kan zijn dat de gevonden server ook inderdaad is wie hij zegt te zijn.
– Ten tweede wordt de communicatie tussen beide partijen versleuteld door gebruik te maken van symmetrische cryptografie in de vorm van een block-cipher zodat deze voor kwaadwillenden niet te volgen is. De sleutel voor deze fase wisselt en wordt door middel van een Diffie-Helman key exchange[1] afgesproken.
Het lijkt er steeds meer op dat de iphoneclub een zwaar gesponsorde “copy paste” site wordt zonder gedegen kennis.