Kieran Claessens, een 19-jarige beveiligingsonderzoeker uit Vlaanderen, heeft een lek in de iCloud van Apple gevonden. Via het lek kon hij met relatief weinig moeite het account een andere gebruiker overnemen. De vondst van Claessens dateert al van 24 mei maar bereikt nu pas het grote publiek dankzij DataNews.
Claessens misbruikte de mogelijkheid om een wachtwoord aan bestanden toe te voegen binnen de iCloud. Je kan een bestand afzonderlijk beveiligen en er meteen ook een wachtwoordhint aan toevoegen om je eventueel te helpen. Via de iCloud kan je dergelijke bestanden delen met andere gebruikers. Omdat het bestand de iCloud nooit verlaat, is de kans groot dat een potentieel slachtoffer het vertrouwt en probeert te openen.
Verraderlijke hint
Claessens deelde zo’n bestand maat gaf ontvangers het foute wachtwoord mee. Na drie mislukte pogingen om de versleutelde file te ontgrendelen verschijnt normaal gezien de wachtwoordhint. Claessens kon echter malafide code injecteren op de plaats waar die hint woont. Drie foutieve inlogpogingen volstaan om de code automatisch te activeren.
Claessens had naar eigen zeggen maar een kwartiertje nodig om het lek te ontdekken. “Apple geeft geen geld aan mensen die een lek vinden”, vertelt hij aan DataNews. Daar schuilt volgens Claessens het probleem: het beloningssysteem van Google motiveert mensen met goede bedoelingen om te zoeken naar eventuele kwetsbaarheden. Bij Apple ontbreekt die motivatie.