We breien een vervolg aan het vorige artkel. En dat is heus niet bedoeld als Apple-bashing, gewoon om Apple gebruikers te waarschuwen dat ook zij kwetsbaar zijn voor aanvallen, en aandacht moten schenken aan beveiliging en security-adviezen.
Om te beginnen blijkt het toch niet onmogelijk te zijn om in jouw superbeveiligde iCloud binnen te dringen. Sinds 2013 had Apple namelijk een systeem bedacht waardoor elke iPhone gekoppeld is aan één iCloud account. En wil je dus je iPHone verkopen, dan moet die account losgekoppeld worden van het toestel. Dat was bedoeld om het voor dieven minder aantrekkelijk te maken om een iPhone, toch een duur toestel, te stelen. Door de koppeling met de iCloud enerzijds, en anderzijds door de Find My iPhone wordt het voor de dief onmogelijk om, zonder het wachtwoord van de eigenaar, de iCloud account te ontkoppelen, of het toestel een factory reset te geven
In een artikel bij Motherboard lees je echter dat er steeds meer bendes zijn die erin slagen om, via allerlei manieren, deze beveiliging te omzeilen. Met valse ontvangstbewijzen bijvoorbeeld trekken de dieven naar de Apple-winkels, waar zij de medewerkers trachten te overtuigen dat zij de legitieme eigenaars zijn. Het Apple-personeel kan namelijk de koppeling met iCloud ontkoppelen. Er zijn volgens Motherboard ook gevallen bekend waarbij hackers tegen betaling toegang bieden tot de GSX website, Global Service Exchange, die gebruikt wordt door officiële Apple dealers. Een interessante longread (1)
Een tweede incident: een security onderzoeker heeft een demonstratie gegeven van een macOS exploit. Daarbij kon hij zich toegang verschaffen tot de wachtwoorden, die in Keychain opgeslagen zijn. Het bijzondere aan deze ontdekking is dat de wetenschapper wel de demo gaf, maar geen details over hoe hij te werk ging. De man is namelijk boos op Apple, omdat het geen serieus bug-bounty programma heeft (een programma waarbij mensen die een bug vinden en die aan Apple melden, een beloning krijgen). Het is te zeggen: Apple heeft wel een dergelijk programma voor iOS, maar niet voor macOS. Wat eigenlijk onbegrijpelijk is.
Is het macOS of iOS daarom onveilig? Het is even veilig of onveilig als elk ander besturingssysteem. Het is vooral de gebruiker die onveilig is, eigenlijk. Wat onomstotelijk vaststaat is dat je privacy bij Apple nog altijd wel beter bewaard blijft dan bij andere besturingssystemen...
https://motherboard.vice.com/en_us/article/8xyq8v/how-to-unl ...
https://9to5mac.com/2019/02/06/mac-keychain-exploit/
|