De hackersgroep die een groot aantal naaktfoto’s van bekendheden op het internet heeft geplaatst, zou de kraak volgens Wired en beveiligingsexperts hebben gedaan met behulp van software van Elcomsoft. Die software wordt normaliter gebruikt door de politie.

Apple verklaarde gisterenavond dat de bekendheden geen goede wachtwoorden hadden gebruikt en raadde het gebruik van tweestapsverificatie aan. Maar juist die beveiliging zou echter te omzeilen zijn met Phone Password Breaker van het Russische Elcomsoft.

Dit programma wordt doorgaans door de politie gebruikt om de beveiliging van smartphones van verdachten te omzeilen door een volledige backup vanaf iCloud te downloaden. Daarvoor zijn enkel de inloggegevens van een Apple ID nodig. Elcomsoft zou de gehele beveiliging van iCloud hebben ontleed middels reverse-engineering, er wordt dus geen gebruik gemaakt van moedwillig ingebouwde achterdeurtjes in Apple’s software.

De metadata van de gepubliceerde foto’s is onderzocht en daarbij kwam het gebruik van Phone Password Breaker aan het licht. De metadata zou ook aantonen dat gebruik is gemaakt van het iBrute-script waarmee middels een brute force-aanval het wachtwoord van een Apple ID gekraakt kon worden. Dit was mogelijk door een kwetsbaarheid in Find my iPhone die Apple eerder deze week dichtte.

Middels de software van Elcomsoft is het mogelijk om de tweestapsverificatie te omzeilen via de backup-functie van iCloud. Volgens TechCrunch zou Apple’s Fotostream bovendien niet voorzien zijn van deze beveiliging.

Als je tweestapsverficatie inschakelt, moet op nieuw apparaat niet alleen een wachtwoord van je Apple ID ingevoerd worden, maar ook een verificatiecode die je via SMS ontvangt.

Elcomsoft heeft vooralsnog niet gereageerd op de bewering dat het betrokken is bij de hack.