'Wachtwoorden iCloud eenvoudig te stelen'

De wachtwoordenservice iCloud Sleutelhanger van Apple is mogelijk niet veilig. Een groep onderzoekers uit de VS en China heeft naar eigen zeggen een manier gevonden om wachtwoorden van bijvoorbeeld mail- en bankaccounts te stelen.

Het lek is al zeker sinds oktober bij Apple bekend. De onderzoekers uit Indiana, Georgia en Peking schrijven in een artikel dat Apple aangaf zes maanden nodig te hebben om het te dichten. Toch zou dat nog steeds niet volledig zijn gebeurd. Het team werkt inmiddels zelf mee aan een oplossing.

Met de iCloud Sleutelhanger kunnen Apple-gebruikers automatisch sterke wachtwoorden genereren en op hun verschillende apparaten synchroniseren. De onderzoekers hadden klaarblijkelijk niet verwacht dat de app zo onveilig zou zijn; ze spreken in een artikel van "verrassende zwaktes".

Het is de onderzoekers ook gelukt om malware op iOS-apparaten te installeren. Ze konden daarmee een 'beveiligingsmuur' (Sandbox) omzeilen en onder meer bij notities (uit EverNote) en foto's (die waren gestuurd via WeChat) komen.

Pijnlijk

De zaak is pijnlijk voor Apple, dat de laatste weken wordt geplaagd door veiligheidsproblemen en bugs. Vorige week onthulde een onderzoeker van Ernst & Young nog dat de mail-applicatie op iOS niet veilig is en dat hackers eenvoudig wachtwoorden kunnen buitmaken. Eind mei bleek dat je iPhone uitvalt als een kwaadwillende via iMessage of WhatsApp een bepaalde serie tekens naar je verstuurt.