iCloud-fotodieven omzeilden tweestaps-verificatie met politiesoftware

De iCloud-fotodieven gebruikten politiesoftware gemaakt door ElcomSoft om backups te downloaden. Zo omzeilden ze tweestaps-verificatie.
Bastiaan Vroegop - · Laatst bijgewerkt:

iCloudDe iCloud-hackers die naaktfoto’s van beroemdheden bemachtigden, hebben een programma speciaal voor de politie gebruikt. Dit ontdekte Wired na een kort onderzoek. Op een anoniem fotoforum waar een paar van de eerste foto’s naar buiten lekten wordt namelijk gesproken over het gebruik van ElcomSoft Phone Password Breaker (EPPB). Dit programma wordt door onder andere Amerikaanse politie gebruikt om een volledige iCloud-backup te downloaden met bemachtigde wachtwoorden. Hiermee konden ze de mogelijke tweestaps-verificatie van een account omzeilen.


Lees ook: Tweestapsverificatie instellen voor iCloud, iTunes en Apple ID

Apple veronderstelde gisteren al dat de gebruikersnamen en wachtwoorden van een aantal beroemdheden waren bemachtigd. Normaal gesproken is dit genoeg om de account binnen te dringen op iCloud.com. Met EPPB is het mogelijk om met de gebruikersdata in één keer een volledige backup te downloaden, waaruit je vervolgens bijvoorbeeld foto’s kunt halen.

Tweestaps-verificatie beschermt onvoldoende

Het gebruik van EPPB liet de hackers de mogelijke tweestaps-verificatie van een account omzeilen, ontdekte TechCrunch. De software gebruikt namelijk de backupfunctie van iCloud, die niet door tweestaps-verificatie wordt beveiligd. Daarnaast zouden de Fotostreams van de gehackte accounts ook niet beveiligd zijn met tweestaps-verificatie.

Tweestaps-verificatie laat je een account beveiligen met een speciale app of een sms-bericht. Juist deze beveiligingstool werd gisteren nog door Apple aangeraden om je account extra te beveiligen. Volgens TechCrunch weet Apple al een jaar dat iCloud-backups en Fotostreams niet door tweestaps-verificatie worden beschermd.

Beveiligingsonderzoek Jonathan Zdziarski bevestigt het gebruik van EPPB door de hackers. Volgens hem zijn er sporen van de software terug te vinden in de metadata van de foto’s. Uit deze zelfde metadata blijkt mogelijk ook dat het eerder besproken iBrute-script werd gebruikt om de wachtwoorden te kraken.

EPPB is niet door de politie ontwikkeld, maar wordt wel voornamelijk door ze gebruikt. Ontwikkelaar ElcomSoft noemt het programma dan ook een ideaal hulpmiddel voor wetshandhavers en inlichtingendiensten.

Reacties: 17 reacties

Reacties zijn gesloten voor dit artikel.