Hacker geeft Brute-Force tooltje vrij om Apple te waarschuwen voor lek in iCloud

Vanmiddag verschenen er verontrustende berichten over een tool waarmee je eenvoudig de beveiliging van een iCloud-account kan omzeilen. Hacker Prox13 heeft een tooltje gemaakt met de naam iDict waarmee je via een Brute-Force aanval het wachtwoord van een iCloud-account kan proberen te kraken. De nadruk ligt vooral op proberen omdat de tool gebruik maakt van nogal voor de hand liggende en eenvoudige wachtwoorden.

Wat wel zorgelijk is dat de tool in staat is om de aanval meerdere malen uit te voeren en daarmee ook de tweestaps-verificatie van iCloud weet te omzeilen. Volgens hacker Prox13 is zijn manier om de wachtwoorden te “raden” kinderlijk eenvoudig en de manier waarop hij de beveiliging van Apple weet te omzeilen ook.

De manier waarop de tool iDict toegang krijgt tot iCloud-accounts doet ons vooral denken aan de manier hoe vorig jaar het schandaal rond de uitgelekte iCloud naaktfoto’s is ontstaan. Toen gebruikte men software van ElcomSoft om toegang te krijgen tot de iCloud backups van nietsvermoedende celebrity’s zoals Kim Kardashian, Rihanna, en Mary Kate Olsen.

Voor de release van iDict blokkeerde Apple de toegang tot een iCloud-account als er meerdere malen een verkeerd wachtwoord was ingevoerd. De vandaag verschenen tool iDict weet die restrictie te omzeilen en kan een ongelimiteerd aantal maal proberen om een account te hacken door constant andere wachtwoorden proberen te raden. De tool maakt op dit moment gebruik van een woordenboek met veel voorkomende wachtwoorden maar zo’n tool is door een eenvoudige aanpassing ook slimmer te maken. Dat is ook precies waarom Hacker Pr0x13 de tool heeft vrijgegeven.

Pr0x13 wil met zijn tool alleen aan Apple laten zien dat het nog steeds heel simpel is om een iCloud-account te kraken. Hij hoopt dat Apple de beveiliging snel gaat aanpassen. Wij vermoeden dat Apple daar nu al mee bezig is en het gat snel gaat dichten via en patch. Tot die tijd (en daarna) is het verstandig om een goed wachtwoord te kiezen voor je iCloud-gegevens.

Update: inmiddels heeft Apple het lek al gedicht:

We are now receiving reports that the vulnerability has been patched. People trying to use the tool are apparently now being correctly locked out from repeated password attempts.

osx