Het authenticatieproces in twee stappen van Apple is ontworpen om uw Apple ID veiliger te maken. Wanneer u probeert een wachtwoord opnieuw in te stellen of andere soorten accountwijzigingen aan te brengen, wordt een afzonderlijke verificatiecode verzonden naar een iOS-apparaat dat u bezit. Die code wordt vervolgens gebruikt om te verifiëren dat u bent wie u beweert te zijn voordat u wijzigingen mag aanbrengen.
Veel grote technologiebedrijven bieden al geruime tijd authenticatie in twee stappen aan, en Het proces van Apple is slechts een paar maanden oud.
Nu beveiligingsonderzoekers de tijd hebben gehad om door Apples implementatie van twee stappen te graven, zijn er enkele problemen opgedoken. Zodra de inloggegevens voor een Apple ID met tweestaps-authenticatie zijn gecompromitteerd, weerhoudt niets hackers ervan toegang te krijgen tot iCloud-gegevens, zoals back-ups van apparaten.
ElcomSoft, een bedrijf dat gespecialiseerd is in software voor het kraken van wachtwoorden, heeft een nieuw rapport gepubliceerd
het benadrukken van de veilige gaten in het authenticatieproces in twee stappen van Apple:In de huidige implementatie belet Apple's tweefactorauthenticatie niet dat iemand een iOS-back-up terugzet op een nieuw (niet vertrouwd) apparaat. Bovendien, en dit is een veel groter probleem, is de implementatie van Apple niet van toepassing op iCloud-back-ups, waardoor iedereen die de Apple ID en het wachtwoord van de gebruiker kent om informatie te downloaden en te openen die is opgeslagen in de iCloud. Dit is eenvoudig te verifiëren; log gewoon in op uw iCloud-account en u heeft volledige informatie over alles dat daar is opgeslagen zonder dat u om aanvullende aanmeldingsgegevens wordt gevraagd.
Volgens ElcomSoft is dit vanuit veiligheidsoogpunt gewoon niet de juiste manier om dit te doen. iCloud is in het verleden uitgebuit en zal in de toekomst worden uitgebuit.
Het rapport laat verder zien hoe het kennen van de inloggegevens van een Apple ID volledige toegang geeft tot apparaatback-ups die zijn opgeslagen in iCloud. ElcomSoft kon een back-up downloaden met de inloggegevens van de ID zonder ooit in contact te komen met authenticatie in twee stappen. Het fysieke iOS-apparaat waarvan de back-up afkomstig was, was niet nodig; ElcomSoft heeft het eenvoudig op een nieuw apparaat geladen en hersteld.
Een ander beveiligingsprobleem is dat Apple tweestapsverificatiecodes rechtstreeks naar het vergrendelscherm van een iOS-apparaat stuurt, wat betekent dat iedereen de pincode kan krijgen zonder het apparaat te ontgrendelen. Een hacker zou echter fysieke toegang tot het apparaat moeten hebben om dat te laten werken. ElcomSoft suggereert dat de verificatiecode niet op het lockscreen wordt weergegeven, zodat de gebruiker eerst de ontgrendelingscode van het apparaat moet invoeren.
"Voor de goede orde, ik zou willen zeggen dat Apple's aanpak bij het implementeren van twee-factor-autorisatie er niet uitziet als een voltooid product", zegt Vladimir Katalov van ElcomSoft in het rapport. "Het is gewoon niet zo veilig als je zou verwachten van deze oplossing."
Het is belangrijk op te merken dat de bovengenoemde hack alleen zou plaatsvinden als een slachtoffer een specifiek gericht, en u kunt nooit 100% garanderen dat gegevens die op internet zijn opgeslagen dat niet zijn gecompromitteerd.
De authenticatiefunctie in twee stappen van Apple is momenteel beschikbaar in de Verenigde Staten, het VK, Australië, Ierland en Nieuw-Zeeland. Mexico, Duitsland Nederland, Rusland, Oostenrijk, Brazilië, België, Portugal, Italië en Polen. Authenticatie in twee stappen kan worden ingeschakeld onder de instellingen voor "Wachtwoord en beveiliging" van uw Apple ID op internet.
Bron: ElcomSoft
Via: Ars Technica
Afbeelding: CNET