Een bug in de iCloud security gaf toegang tot het volledige iCloud-sleutelhanger account van een gebruiker. De bug zat in de end-to-end encryptie en werd ontdekt door een security onderzoeker.
De beveiligingsfout is inmiddels alweer opgelost, maar had de potentie om een van de meest schadelijke security kwetsbaarheden van dit jaar te zijn. De bug maakte misbruik van een fout in de manier waarop Apple’s iCloud-sleutelhanger gevoelige data synchroniseerde over apparaten, zoals wachtwoorden en creditcard informatie. Indien gebruikt zou hij aanvallers de mogelijkheid gegeven hebben om ieder geheim op een iPhone, iPad of Mac te ontdekken en te stelen, aldus ZDNet.
Alex Radocea, mede-oprichter van Longterm Security, ontdekte met zijn organisatie de bug. “De bug die we hebben gevonden is precies het soort bug waar de politie en inlichtingendienst naar zoeken in een end-to-end encryptie systeem”, zei hij. De bug zou een aanvaller de mogelijkheid geven om data te onderscheppen wanneer het rond het internet gaat. Hiermee kunnen wachtwoorden en andere geheime data gestolen worden, zoals de websites die je bezoekt en de wachtwoorden daarvan, maar ook de namen van Wi-Fi-netwerken en hun wachtwoorden.
Omzeilen van het verificatieproces
Radocea vertelde ZDNet dat de iCloud-sleutelhanger gebruikmaakt van een op maat gemaakte versie van het open-source Off-the-Record encryptie protocol. Dit protocol wordt vaak toegepast in instant messaging applicaties, voor encryptie en authenticatie. iCloud-sleutelhanger gebruikt het om vertrouwelijke data over het internet te sturen. Het maakt gebruik van verificatie om te zorgen dat twee apparaten goed met elkaar communiceren.
Radocea ontdekte echter een manier om dit verificatieproces te omzeilen, waardoor een apparaat toegevoegd kon worden zonder dat een gebruiker het zou merken. Dit deed hij door een TLS certificaat te laden op een test iOS apparaat. Hiermee begon hij het internetverkeer te onderscheppen en Off-the-Record pakketten aan te passen om zo opzettelijk een ongeldige handtekening te krijgen.
Het is echter niet makkelijk om dit te doen, zegt Radocea. Zo is het niet mogelijk om iedereen te hacken waarvan je de accountnaam weet. Je moet namelijk ook toegang hebben tot hun iCloud account, door bijvoorbeeld een Apple ID e-mail adres en wachtwoord. Accounts die wachtwoorden hergebruiken zouden hier een goed doelwit voor zijn, zegt hij. Dit claimt hij aan de hand van de verschillende datalekken in de afgelopen jaren, waardoor wachtwoorden en accountnamen bekend werden gemaakt.
Hoewel de communicatie tussen apparaten en Apple nog steeds beveiligd was, maakte de encryptiefout het mogelijk om voor iemand om toegang te krijgen tot alle gegevens in de iCloud-sleutelhanger. De bug werd in maart alweer gerepareerd in iOS 10.3 en macOS Sierra 10.12.4.
16 uur geleden
