‘Beveiliging iTunes-wachtwoorden rammelt’

Door: Raymon Mens - 5 reacties

De meest Apple-gebruikers zullen Mark Loman van SurfRight/Hitman Pro niet kennen. De Nederlandse beveiligingsonderzoeker brengt al tijden software uit die Windows-gebruikers van virussen en malware moet verlossen. Nu heeft hij iTunes eens onder de loep genomen.

De conclusie van zijn onderzoek is dat de manier waarop iTunes wachtwoorden verstuurt niet helemaal veilig is. Tweakers meldt dat passwords van iTunes-accounts bij het doen van een aankoop onversleuteld verzonden worden. Ook wordt bij de Windows-versie van iTunes de echtheid van versleutelde verbindingen niet gecheckt.

In theorie kunnen kwaadwillenden zich hierdoor voordoen als server van iTunes en zo persoonlijke informatie aftappen. Ook bij het werken op een publiek WiFi-netwerk kunnen kwaadwillenden iTunes-wachtwoorden buitmaken. De onderzoeker ontdekte dat de OS X-versie van iTunes wel een waarschuwing heeft als er iets niet in de haak is met de verbinding, maar de Windows-versie zonder waarschuwing door blijft gaan met het versturen van gegevens.

Om de zwakheden in de Windows-versie van iTunes te misbruiken, moeten aanvallers een zogenaamde man-in-the-middle aanval opzetten. Technisch een flinke ingreep en praktisch alleen snel mogelijk op publieke WiFi-netwerken. De impact van de tekortkoming in de beveiliging is daarom laag, maar het is wel een slordigheid die Apple dient op te lossen.

Reacties

5 reacties
  • Profielfoto
    dj bazzie wazzie

    Onversleuteld is hier wel een relatief begrip omdat de verbinding zelf al wel versleuteld is. Met andere woorden er is meer nodig dan tcp pakketjes af te luisteren.

  • Profielfoto
    zepkleiker

    Onversleuteld is hier wel een relatief begrip omdat de verbinding zelf al wel versleuteld is. Met andere woorden er is meer nodig dan tcp pakketjes af te luisteren.

    Daarom dat er dus een MitM attack nodig is, zoals gemeld in het artikel.

    Één kritische noot: het downplayen van de ernst hiervan (laatste artikel) vind ik wat onterecht.

  • Profielfoto
    sciletto

    Volgens mij doet Apple hier niks mee omdat de kans zo nihil is dat dit gebeurt dat een versleutelde verbinding opzetten onnodig is. Het is in theorie mogelijk maar ik denk dat de kans 1 op de miljoenen is dat jou dit overkomt. Ik heb zelf een Macbook en gebruik niks van Windows:D

  • Profielfoto
    Ruud Ravenhorst

    @ Sciletto: ja zal maar net die ene zijn… Ik gebruik ook geen Windows, maar Apple is het aan haar stand verplicht ook Windows-software die onder de Apple naam wordt geproduceerd zo veilig mogelijk te maken.

  • Profielfoto
    Jeffry

    Het artikel is wel erg mild in de kritiek.

    – Het niet verifiëren van certificaten is een ernstige fout bij een betaaldienst.
    – MitM aanvallen zijn niet alleen mogelijk bij open Wifi-netwerken.
    – Indien goed opgezet, kan het verkrijgen van het ww vrijwel ongemerkt kan gebeuren.
    – Mensen gebruiken veelal hetzelfde wachtwoord dus gevolgen kunnen verder strekken.
    – Waarschuwingen, al komen ze van iTunes of ‘maar’ van iTunes, worden nogal eens genegeerd…