Apple’s tweestapsverificatie beschermt iCloud-backups niet

Apple's tweestapsverificatie is onveilig, zegt ElcomSoft. Voor de toegang tot iCloud-backups heb je alleen Apple ID en wachtwoord nodig, net als vroeger. Ook kun je backups terugzetten op een niet-vertrouwd apparaat.
Gonny van der Zwaag | iCulture.nl - · Laatst bijgewerkt:

setup-iphoneApple heeft tweestapsverificatie ingevoerd (maar nog niet in Nederland), om te zorgen dat je Apple ID minder snel in verkeerde handen valt. Zodra je je wachtwoord opnieuw wilt instellen, is het niet meer voldoende om antwoord te geven op een paar algemene vragen, zoals: “Wat was de naam van je eerste huisdier?” Je ontvangt ook een verificatiecode op een vertrouwd apparaat, zoals je iPhone of iPad. Apple is nog maar net begonnen met tweestapsverificatie, maar volgens securitybedrijf ElcomSoft is er nu al iets mis. Zij ontdekten dat je een iOS-backup kunt terugzetten op een nieuw, niet-vertrouwd apparaat. Ook is Apple’s tweestapsbeveiliging niet van toepassing op iCloud-backups, waardoor je met alleen een Apple ID en wachtwoord toegang kunt krijgen tot informatie op iCloud.


Lees ook: Tweestapsverificatie instellen voor iCloud, iTunes en Apple ID

Het is gemakkelijk zelf te controleren als je al tweestapsverficatie hebt ingeschakeld en daarna inlogt op de iCloud-website. Meer dan een Apple ID en een wachtwoord heb je niet nodig. Vervolgens heb je toegang tot alle informatie die Apple op iCloud bewaart. Een extra autorisatiecode is niet nodig. Volgens ElcomSoft is het een slordigheid van Apple, want iCloud-informatie wordt vaak misbruikt. Eerder deze week maakten we een lijst van allerlei Apple-diensten die afhankelijk zijn van het Apple ID en daarbij bleek dat zo’n 13 online diensten ervan afhankelijk zijn. Van Herinneringen tot Mail en van Documents in the Cloud tot iTunes Match.

Heel wat bedrijven zijn overgestapt op tweestapsverificatie, zoals Google en recent Evernote en Twitter. Laatstgenoemde bedrijven hadden beide al te maken met gehackte accounts. Ook Apple had regelmatig te maken met gehackte iTunes-accounts en privacyproblemen. “Apple’s benaderin in implementatie van two-factor authorization ziet er niet uit alsof het af is”, schrijft Vladimir Katalov van ElcomSoft in zijn rapport. Het bedrijf downloadde een backup met behulp van de inloggegevens, zonder daarbij een vertrouwd apparaat of een extra code nodig te hebben. Het fysieke apparaat waarvan de backup afkomstig was, was ook niet nodig. Daarna kon ElcomSoft de backup terugzetten op een totaal nieuw apparaat.

Nog een ander beveiligingsprobleem is dat Apple de codes voor de tweestapsverificatie op je lockscreen toont, zonder dat je de pincode hoeft in te tikken. Daardoor kan iemand na diefstal van de iPhone de verificatiecode gebruiken, zonder toegang te hebben tot je toestel. Je kunt dit oplossen door de voorvertoning van SMS en iMessage uit te schakelen.

Officieel is de tweestapsverificatie van Apple beschikbaar in de Verenigde Staten, Verenigd Koninkrijk, Australië, Ierland en Nieuw-Zeeland. In Nederland, België, Duitsland, Oostenrijk, Rusland, Portugal, Italië, Polen, Mexico en Brazilië komt het spoedig beschikbaar. In Nederland was de optie voor tweestapsverificatie al even zichtbaar (via appleid.apple.com > Wachtwoord en beveiliging), maar bleek een wassen neus: het cruciale onderdeel om codes via SMS te ontvangen werkte nog niet.

Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Reacties: 11 reacties

  1. 🙁 Als dit in NL ook wordt ingevoerd dan ben ik er niet blij mee…ik weet namelijk de antwoorden niet meer…

  2. Origineel geplaatst door Michel
    Als dit in NL ook wordt ingevoerd dan ben ik er niet blij mee…ik weet namelijk de antwoorden niet meer…

    Ga naar hier. Kies Wachtwoord en beveiliging

  3. Origineel geplaatst door werner
    Ga naar hier. Kies Wachtwoord en beveiliging

    En dan? Ik moet als nog antwoorden geven op de vragen die worden gesteld…en ik weet het echt niet meer. Echt slecht van mij.. 😉

  4. @Michel: kies daar :
    Stuur beveiligingsinfo voor opnieuw instellen naar ……

  5. Tja.. beetje kip en ei verhaal dit.. als je iPhone stuk gaat en je krijgt een nieuwe vervangende iPhone hoe moet je dan anders je iCloud backup er op terug zetten? Instellen als nieuwe iPhone, autoriseren, backup terug zetten? dat lijkt me een beetje omslagtig…

  6. @Werner: Ik kan alleen maar 2 vragen beantwoorden en zie geen optie: Stuur beveiligingsinfo voor opnieuw instellen naar ……

  7. Codes komen toch via het “Find my iPhone” “protocol” binnen op je vertrouwde apparaten? (SMS is slechts een alternatief?). Dat deel werkt bij mij gewoon voor mijn NL Apple ID (geactiveerd toen iPhoneclub er over berichtte).

    Ik merk wel dat ik de accounts van familieleden nog steeds niet van deze extra beveiliging kan voorzien.

  8. @Michel: Ik krijg “Stuur beveiligingsinfo…” Misschien dat jij eerst moet antwoorden en zijn ze verkeerd zal je misschien deze optie wel krijgen.

  9. @Michel: De optie voor versturen naar een e-mail adres is alleen aanwezig indien er een ‘rescue’ e-mail adres is ingesteld. U kunt contact opnemen met AppleCare (0900 7777 703). Het account security team kan, mits ze u kunnen verifiëren, de beveiligingsvragen opnieuw instellen.

  10. @Gottlieb: Geprobeerd, helaas geen optie: Stuur beveiligingsinfo..Ik ga Apple wel bellen. Thanks!

  11. @Werner @Gottlieb Allebei dank.