De loginggegevens van een Apple ID zijn te onderscheppen, zo hebben Nederlands-Marokkaanse hackers uitgevonden. Apple hanteert niet voldoende maatregelen waardoor het mogelijk is om de inlogdienst succesvol te imiteren.

Het is onduidelijk in hoeverre momenteel al misbruik wordt gemaakt van de methode die de hackers hebben toegepast. De hack-methode vereist dat gebruikers verbinden met een lokaal netwerk, waarbij een computer de dataoverdracht onderschept. Apple verifieert de serverrcertificaten niet.

Bovendien worden loginggegevens onversleuteld verzonden. Dat is niet direct een probleem als de verbinding zelf wel versleuteld is, maar door Apple’s dienst te imiteren geloven apparaten en gebruikers dat ze in contact staan met authentieke servers en geven ze de logingegevens dus gewoon door.

Dankzij de hack is het niet alleen mogelijk om toegang te krijgen tot de Apple ID van gebruikers, maar kunnen bijvoorbeeld ook gestolen iPads en iPhones worden ontgrendeld. De hackers zeggen dat dit al zo’n 30.000 keer is gebeurd. Indien vergrendeld zijn deze apparaten onbruikbaar en dus waardeloos, na de ontgrendeling kunnen de apparaten voor honderden euro’s verkocht worden.

Tot vorige maand zat het lek in iOS, maar met de update naar versie 7.1.1 is de kwetsbaarheid verholpen. Apparaten die niet up-to-date zijn of überhaupt niet kunnen updaten naar deze versie lopen natuurlijk nog gevaar. Mac OS X-gebruikers krijgen een waarschuwing dat het certificaat niet correct is, Windows-gebruikers lopen vooralsnog het meest gevaar omdat zij geen melding te zien krijgen. Sowieso raden we te allen tijde aan om vreemde WiFi-netwerken niet blindelings te vertrouwen.