‘Politiesoftware gebruikt bij stelen celeb-foto’s uit iCloud’

16 reacties

De ontwikkelingen rondom de vermeende iCloud-hack volgen elkaar snel op, maar maken het geheel niet duidelijker. Een hacker publiceerde maandag pikante foto’s van beroemdheden, naar eigen zeggen waren deze van de iPhones van de celebs gestolen.

Apple ontkende in een reactie opp dinsdagavond dat iCloud een lek bevat, de accounts van de beroemdheden zijn volgens Apple op ‘traditionele methoden’ zeer gericht aangevallen. Vandaag claimt Wired dat software die de politie gebruikt om iPhones te onderzoeken ook een rol heeft gespeeld.

On het forum Anon-IB wordt openlijk besproken hoe de foto’s buitgemaakt zijn, Hackers hebben het over software die heet ‘EPPB’ oftewel Elcomsoft Phone Password Breaker. Deze tool wordt vaak voor forensische doel­einden gebruikt door politie en geheime diensten. Met de software is het mogelijk om (beveiligde) iCloud-backups te openen en de inhoud in te zien.

epbb
Interface en mogelijkheden van EPBB.

Het verhaal is nu dat een hacker het wachtwoord van een van de accounts van de beroemdheden buit heeft gemaakt, via de door Apple aangehaalde wegen als password recovery via beveiligingsvragen of via de recent opgedoken iBrute-tool die gebruik maakte van een korte tijd aanwezige flaw in Find my iPhone.

Twee-staps-verificatie niet effectief?
Apple raadt gebruikers aan om twee-staps-verificatie op hun account aan te zetten voor extra bescherming. Hierbij krijgt de gebruiker een SMS’je met een code die overgetypt moet worden, pas daarna kan een inlogpoging slagen. Volgens TechCrunch maakt iCloud-backup en iCloud-fotostream echter geen gebruik van twee-staps-verficatie. Mogelijk speelde dit ook rol bij het bemachtigen van de foto’s van de celebs.

Wordt ongetwijfeld vervolgd.

Reacties

16 reacties
  • Profielfoto
    LT Barclay

    Lekker is dat. Denk je met 2FA je gegevens veiliger te hebben blijkt het nog niet voldoende te zijn. Is te hopen dat Apple daar snel wat aan doet.
    Volgens de website van Elcomsoft werkt de software niet op Microsoft account met 2FA

  • Profielfoto
    koen
  • Profielfoto
    LT Barclay

    Nee precies. De hele icloud backup kan er meer gedownload worden. Of je nu 2FA aan hebt staan of niet.

  • Profielfoto
    Zakske

    Probleem was al in 2013 bekend.

    “In its current implementation, Apple’s two-factor authentication does not prevent anyone from restoring an iOS backup onto a new (not trusted) device,” ElcomSoft CEO Vladimir Katalov wrote. “In addition, and this is much more of an issue, Apple’s implementation does not apply to iCloud backups, allowing anyone and everyone knowing the user’s Apple ID and password to download and access information stored in the iCloud. This is easy to verify; simply log in to your iCloud account, and you’ll have full information to everything stored there without being requested any additional logon information.”

    Met andere woorden; de maker van de software die waarschijnlijk gebruikt is om die accounts te kraken waarschuwde Apple in 2013 al dat 2FA niet genoeg is om iCloud backups te beveiligen, en Apple deed niks met deze info? LOL!

  • Profielfoto
    iMad

    Dan zetten we toch backup naar iCloud uit tot het probleem is opgelost.
    Dus vanaf nu alleen op de Mac een back-up maken.

  • Profielfoto
    Falkor73

    Alsof iemand in jouw back-up geïnteresseerd is….
    Echt stoere actie! Dat zal ze leren.

  • Profielfoto
    iMad

    Alsof iemand in jouw back-up geïnteresseerd is….
    Echt stoere actie! Dat zal ze leren.

    Wacht even ehhh zie ik dat goed reageert er iemand op mijn reactie met een wel hele achterlijke domme reactie?
    O natuurlijk de achterlijke Falkor73 reageert, wat ben jij dom zeg.

  • Profielfoto
    Noest

    De pot en de ketel?

  • Profielfoto
    Falkor73

    Dank je Noest

  • Profielfoto
    csteelooper

    Als iCloud Backup inderdaad de achilleshiel van dit probleem is, dan denk ik dat er voor mij een nog veel belangrijker probleem opgelost is — op dit moment werkt iCloud Backup voor mij niet zonder minimaal eenmaal per dag op al mijn devices m’n wachtwoord in te kloppen… “iCloud Backup requires you to verify your password” of hoe luidt die melding precies… Andere diensten werken zonder problemen…
    Dus als dit toch al niet zo veilig is kan het net zo goed uit… Overigens wist ik niet dat wachtwoorden werden opgeslagen in die back-ups, want na een restore moest ik wel al mijn accountwachtwoorden opnieuw opgeven…

  • Profielfoto
    iMad

    De pot en de ketel?

    LOL

  • Profielfoto
    iMad

    Dank je Noest

    Boehoe

  • Profielfoto
    Ruud Ravenhorst

    Ik vermoed dat we hier toch echt een laksheid van Apple te pakken hebben. Dat ze hier nog steeds niet op gereageerd hebben vind ik een veeg teken…

  • Profielfoto
    csteelooper

    @iMad Moet je nou werkelijk twee keer reageren om goed te kunnen flamen? ’t Is pathetisch…

    @Ruud Ravenhorst
    Hoewel het probleem al aardig lang bekend is, is het daarmee nog niet al te makkelijk om het ook op te lossen. Zeker niet als je dat op een elegante manier wilt doen. Er zijn namelijk beperkingen aan de toepasbaarheid van two-factor authentication. Voor de store(s) zelf is er niet direct een probleem, maar voor andere toepassingen is de bruikbaarheid ervan volledig afhankelijk van hoe de toepassing in kwestie het authenticatieverzoek afhandelt. Zowel Goolge als Yahoo (en Microsoft?) Maken voor niet-ondersteunde applicaties (dus applicaties die niet overweg kunnen met two-factor authentication) gebruik van applicatiespecifieke wachtwoorden/pincodes. Hoewel die oplossing werkt, is het niet altijd even praktisch, laat staan dat het een ‘nette’ oplossing is.
    Toegegeven, Apple had hier al iets aan moeten doen, en had dat naar alle waarschijnlijkheid ook gekund. Maar ik betwijfel, ondanks het uitblijven van een oplossing tot nog toe, of Apple er desondanks niet tóch (al) mee bezig is.

  • Profielfoto
    iMad

    @iMad Moet je nou werkelijk twee keer reageren om goed te kunnen flamen? ’t Is pathetisch…

    Ja in sommige gevallen is dat nodig, want de reactie die Falkor 73 geeft op mijn reactie slaat nergens op.

    Daar waar ik aangeef dat mensen op dit moment beter hun back-up via iCloud moeten uitzetten tot het probleem opgelost is, gaat hij mij persoonlijk “aanvallen” en heb ik dus het recht om deze persoon te vertellen dat zijn reactie dom en achterlijk is.

    Actie – Reactie