Foto: AFP
Dit blijkt uit een openbaar document met instructies om de hack zelf uit te kunnen voeren, geplaatst op Github. Het lek zou inmiddels verholpen zijn, zo staat ook in het bestand vermeld.
Om toestellen terug te vinden via Find My iPhone, moeten gebruikers het wachtwoord van hun Apple ID invullen. Er bleek geen limiet te zitten op het aantal pogingen om dit in te voeren.
Hackers konden daardoor geautomatiseerd net zo lang wachtwoorden invoeren totdat ze het juiste hadden gevonden. Het Github-document leverde hiervoor een script dat gebruikmaakte van een lijst van vijfhonderd veelgebruikte wachtwoorden. Hackers hadden zelf echter hun eigen lijst kunnen gebruiken. Om een wachtwoord te kraken was wel het bijbehorende e-mailadres van het Apple-account nodig.
Sinds maandachtochtend biedt de Find My iPhone-dienst een extra beveiliging tegen dit soort scripts, meldt The Next Web na een test. Na een aantal verkeerde pogingen wordt het bijbehorende Apple-account tijdelijk uitgeschakeld.
Naaktfoto’s
Het is niet bekend in hoeverre het lek geleid heeft tot onrechtmatige toegang tot Apple-accounts. De timing van Apples maatregelen tegen deze zwakheid valt wel samen met het uitlekken van naaktfoto’s van meerdere beroemdheden.
Dit lek wordt in verband gebracht met Apples iCloud-dienst, waarmee foto’s en video’s online opgeslagen kunnen worden. De toegang tot iCloud is gekoppeld aan het Apple-account van gebruikers.
Op de site 4Chan claimde de plaatser van de naaktfoto’s dat deze deels afkomstig waren uit iCloud. Het bewijs hiervoor ontbreekt tot nu toe. Apple heeft nog niet gereageerd op het lek.