2 juni 2016 14:51

Vlaming kraakt iCloud via eenvoudig achterpoortje

Een 19 jarige Vlaming gebruikte een lek in de iCloud om het account van iemand anders binnen te dringen en over te nemen.

Kieran Claessens, een 19-jarige beveiligingsonderzoeker uit Vlaanderen, heeft een lek in de iCloud van Apple gevonden. Via het lek kon hij met relatief weinig moeite het account een andere gebruiker overnemen. De vondst van Claessens dateert al van 24 mei maar bereikt nu pas het grote publiek dankzij DataNews.

Claessens misbruikte de mogelijkheid om een wachtwoord aan bestanden toe te voegen binnen de iCloud. Je kan een bestand afzonderlijk beveiligen en er meteen ook een wachtwoordhint aan toevoegen om je eventueel te helpen. Via de iCloud kan je dergelijke bestanden delen met andere gebruikers. Omdat het bestand de iCloud nooit verlaat, is de kans groot dat een potentieel slachtoffer het vertrouwt en probeert te openen.

Verraderlijke hint

Claessens deelde zo’n bestand maat gaf ontvangers het foute wachtwoord mee. Na drie mislukte pogingen om de versleutelde file te ontgrendelen verschijnt normaal gezien de wachtwoordhint. Claessens kon echter malafide code injecteren op de plaats waar die hint woont. Drie foutieve inlogpogingen volstaan om de code automatisch te activeren.

[related_article id=”178379″]

Vervolgens kreeg de onderzoeker de volledige toegang tot de iCloud van zijn slachtoffer. Hij kon de sessie helemaal overnemen en kreeg toegang tot de gebruikersnaam en het wachtwoord van het doelwit. Apple heeft het probleem onderzocht en het lek is intussen gedicht.

Claessens had naar eigen zeggen maar een kwartiertje nodig om het lek te ontdekken. “Apple geeft geen geld aan mensen die een lek vinden”, vertelt hij aan DataNews. Daar schuilt volgens Claessens het probleem: het beloningssysteem van Google motiveert mensen met goede bedoelingen om te zoeken naar eventuele kwetsbaarheden. Bij Apple ontbreekt die motivatie.