De meest Apple-gebruikers zullen Mark Loman van SurfRight/Hitman Pro niet kennen. De Nederlandse beveiligingsonderzoeker brengt al tijden software uit die Windows-gebruikers van virussen en malware moet verlossen. Nu heeft hij iTunes eens onder de loep genomen.

De conclusie van zijn onderzoek is dat de manier waarop iTunes wachtwoorden verstuurt niet helemaal veilig is. Tweakers meldt dat passwords van iTunes-accounts bij het doen van een aankoop onversleuteld verzonden worden. Ook wordt bij de Windows-versie van iTunes de echtheid van versleutelde verbindingen niet gecheckt.

In theorie kunnen kwaadwillenden zich hierdoor voordoen als server van iTunes en zo persoonlijke informatie aftappen. Ook bij het werken op een publiek WiFi-netwerk kunnen kwaadwillenden iTunes-wachtwoorden buitmaken. De onderzoeker ontdekte dat de OS X-versie van iTunes wel een waarschuwing heeft als er iets niet in de haak is met de verbinding, maar de Windows-versie zonder waarschuwing door blijft gaan met het versturen van gegevens.

Om de zwakheden in de Windows-versie van iTunes te misbruiken, moeten aanvallers een zogenaamde man-in-the-middle aanval opzetten. Technisch een flinke ingreep en praktisch alleen snel mogelijk op publieke WiFi-netwerken. De impact van de tekortkoming in de beveiliging is daarom laag, maar het is wel een slordigheid die Apple dient op te lossen.