Angstwekkende koppen in de het nieuws gisteren: Nederlanders kraken iCloud, kopte de Telegraaf. Nederlands-Marokkaanse hackers zouden een manier gevonden hebben om ‘de beveiliging van Apple te doorbreken’. Toch blijkt er niet echt sprake van een hack.

Hoewel het woord ‘hack’ impliceert dat heel iCloud en daarmee ook diensten als photostream en opgeslagen documenten voor hackers toegankelijk zouden zijn. Dat is niet zo. De ‘hack’ is niet meer dan een methode om iPhones buiten Apple om te activeren. Deze methode moet bovendien door de gebruiker zelf nadrukkelijk aan gezet worden en vormt voor dagelijks gebruik zo goed als geen risico.

Wat hebben de ‘hackers’ concreet? De hackers (of ontwikkelaars) hebben het activatieproces van een iOS-apparaat in iTunes weten na te bootsen. Door het aanpassen van een ‘hosts’ bestand op de computer denkt iTunes met Apple te communiceren, maar geeft de server van de hackers in werkelijkheid altijd groen licht voor activatie. Het namaken van het activatieproces is knap, maar nog geen hack. Waarschijnlijk wordt gebruik gemaakt van een zwakheid in iTunes voor Windows die beveiligde verbindingen niet goed checkt.

Waarom vormt dit weinig risico? Natuurlijk is het vervelend dat bijvoorbeeld gestolen iPhones die vergrendeld zijn alsnog werkend gemaakt kunnen worden. Toch kunnen kwaadwillenden ook in dat geval niet bij persoonlijke bestanden die nog op het apparaat aanwezig zijn. Na het activeren van een iPhone, al dan niet via een omweg, moet het apparaat opnieuw ingesteld worden en worden alle persoonlijke gegevens gewist. Het iCloud-wachtwoord wordt niet vrijgegeven.

Zijn andere iCloud-diensten kwetsbaar? De ‘hack’ richt zich puur op het deel van iCloud dat iPhones activeert, andere diensten die gebruik maken van iCloud zijn voorzien van volledige encryptie. Er zijn geen aanwijzigingen dat bijvoorbeeld iMessage-gesprekken afgetapt kunnen worden, documenten opgeslagen in iCloud kunnen niet vrij door hackers bekeken worden. OMT heeft diverse beveiligingsexperts gevraagd te bevestigen dat deze hack geen invloed heeft op andere diensten die powered by iCloud zijn. Zodra statements hierover binnen zijn, zullen deze in dit artikel opgenomen worden.

Is er dan echt niets aan de hand? Jawel. Het is niet de bedoeling zijn dat vergrendelde iPhones alsnog geactiveerd kunnen worden. Op deze manier trekt de handel in gestolen iPhones aan. Op eBay zijn bijvoorbeeld gestolen iPhones die ‘cloud locked’ zijn voor enkele tientjes te koop, na het activeren via in iCloud-hack zouden criminelen deze weer door kunnen verkopen. Op Twitter claimen de hackers dat er inmiddels duizenden iPhones via hun server geactiveerd worden.

Twitter wordt niet geladen omdat je geen toestemming hebt gegeven. [Klik hier](javascript:Didomi.notice.show();) om het aan te passen.Wel toestemming gegeven maar niet getoond, herlaad de pagina. Wat gaat Apple doen? Apple hult zich tot nu toe in zwijgen. De iPhone-maker kan de hack waarschijnlijk eenvoudig onmogelijk maken door iTunes de echtheid van de connectie met de activatieserver te laten verifiëren. Momenteel ontbreekt het aan deze verificatie, een slordigheid die in een volgende update voor iTunes waarschijnlijk rechtgezet zal worden.