Foto: Apple
Dat ontdekte beveiligingsonderzoeker Mark Loman van het Nederlandse beveiligingsbedrijf Surfright, meldt Tweakers.
Wanneer iTunes-gegevens naar de server voor Apple worden gestuurd, worden ze niet gehasht, ontdekte Loman. Hashen is een beveiligingsmethode die gegevens onherkenbaar maakt, voor veilig versturen.
Naast dat gegevens dus niet gehasht zijn, is ook de verbinding tussen iTunes en de servers van Apple niet goed beveiligd. iTunes controleert de geldigheid van serveercertificaten niet, waardoor het mogelijk is een zogenoemde man-in-the-middle-aanval te doen. Daarbij kan iemand zich voordoen als een server van Apple, zonder dat iTunes dat opmerkt. Een gebruiker zou daarvoor wel op bijvoorbeeld een onbeveiligd wifi-netwerk moeten zitten.
“Dit is een beginnersfout, of met opzet”, zegt Loman tegenover Tweakers. “Inlichtingendiensten als de NSA kunnen hierdoor eenvoudig alle communicatie met iCloud onderscheppen.” De kwetsbaarheid geldt alleen voor Windows-gebruikers, mensen met Apple’s eigen OS X krijgen wel een waarschuwing in geval van een ongeldig servercertificaat.
Gestolen iPhones
Ook is Loman erachter gekomen dat het activatieproces van iOS op eenzelfde manier te omzeilen is. Op die manier is het bijvoorbeeld mogelijk om iPhones die wegens diefstal zijn geblokkeerd toch te activeren, ook omdat iTunes de geldigheid van certificaten niet controleert.
De kwetsbaarheid zat volgens Loman tot voor kort ook in iOS, maar werd door Apple gedicht met een update. Die update is voor oudere iOS-apparaten als de eerste iPad en iPhone 3G en 3GS niet beschikbaar, waardoor die kwetsbaar blijven.