Apple heeft tweestapsbeveiliging nog steeds niet op orde

Abonneer je gratis op Techzine!

Uit een onderzoek is gebleken dat Apple de beveiliging van verschillende diensten nog niet voldoende op orde heeft om gebruikers volledig te kunnen beschermen. Ondanks dat accounts tweestapsbeveiliging hebben ingeschakeld, is het alsnog mogelijk om daarop in te loggen zonder een waarschuwingsbericht te veroorzaken.

In 2014 kwam Apple wekenlang negatief in het nieuws, doordat clouddienst iCloud niet voldoende beveiligd bleek te zijn, waardoor allerlei pikante foto’s van bekende personen op het internet lekten. Uit eigen onderzoek concludeerde Apple dat de slachtoffers geen sterke wachtwoorden hadden en daarom werd tweestapsbeveiliging aangeraden, om dit in de toekomst te voorkomen. Maar Apple blijkt deze beveiliging momenteel nog steeds niet overal op de juiste manier in gebruik te hebben.

Dani Grant heeft naar aanleiding van een onderzoek geconcludeerd dat een aantal Apple-diensten nog altijd geen tweestapsbeveiliging bieden, waar hackers misbruik van kunnen maken. Daarvoor moeten zij wel beschikken over je gebruikersnaam en wachtwoord. Als echter op de juiste plek wordt ingelogd, zal daarover geen waarschuwing worden verstuurd naar de rechtmatige eigenaar van het account.

Grant slaagde erin om zonder tweestapsbeveiliging in te loggen in de App Store, Apple.com en diensten iMessage en iTunes, zonder dat daarbij een waarschuwing naar het bewuste account verstuurd werd. Normaliter zou dit wel moeten gebeuren omdat Grant een systeem gebruikte dat niet aan het account gekoppeld was.

De gevolgen van het binnendringen op een van deze locaties zijn overigens aanzienlijk minder groot dan voorheen het geval was bij het herstellen van een iCloud-backup waarbij alle data beschikbaar kwam. Dat Apple de zaken nog niet helemaal op orde heeft mag echter ook duidelijk zijn.