Er schuilt een gevaar in Apple’s beveiliging van iCloud

Apple heeft gesproken: de naaktfoto’s van Jennifer Lawrence, Kate Upton en talloze andere beroemdheden zijn niet gestolen via een beveiligingslek. Toch zit er iets bij iCloud niet helemaal pluis. En Apple weet dat.

Twee-staps-verificatie

Bij het ontkennen van een bug in iCloud raadde Apple gisteravond aan dat gebruikers er goed aan doen om twee-staps-verificatie in te schakelen. Twee-staps-verificatie is een extra functionaliteit waarmee je voorkomt dat iemand toegang krijgt tot je Apple-account, zelfs als ze het wachtwoord weten. Als het is ingeschakeld, wordt er na het invullen van je wachtwoord een code naar je telefoon verstuurd. Zonder deze code is het niet mogelijk om in te loggen, dus kwaadwillenden die met je wachtwoord proberen in te loggen worden zo op afstand gehouden.

Apple’s twee-staps-verificatie

Mooi, daarmee kun je voorkomen dat 4chan-gastjes via iCloud je photostream kunnen doorspitten, zou je denken. Nope. Het is namelijk kinderlijk eenvoudig om de twee-staps-verificatie te omzeilen. Michael Rose van TUAW testte het uit door op een nieuwe computer, die niet eerder was gekoppeld aan zijn Apple ID, het programma Cloud Control Panel te installeren. Rose had twee-staps-verificatie ingeschakeld voor zijn account, maar bij het inloggen op het Cloud Control Panel werd daar geen enkele keer om gevraagd. Ergo: binnen enkele minuten kon hij zijn complete foto-archief via iCloud synchroniseren met een vreemde computer. Ook kreeg hij geen notificatie of mailtje dat zijn iCloud was benadert vanaf een nieuwe computer.

Zolang deze mogelijkheid blijft bestaan is Apple’s oproep om twee-staps-verificatie in te schakelen om je pics beter te beveiligen niet meer dan een farce. Kwaadwillenden moeten natuurlijk wel eerst je e-mailadres en wachtwoord hebben, maar als ze zulks eenmaal weten, is Apple niet in staat om ze met twee-staps-verificatie buiten de deur te houden.