Maandag werd bekend dat naaktfoto’s van diverse Hollywoord-sterren op internet beland zijn. Volgens hackers zouden de beelden via een iCloud-hack buit zijn gemaakt. Er is veel onduidelijkheid over de echtheid van de foto’s. Toch neemt Apple dit serieus.

Het bedrijf uit Cupertino heeft aan zijn vaste spreekbuis Re/Code laten weten het incident ‘actief te onderzoeken’. Verder wordt niet ingegaan of er wel of geen iCloud-account van een van de celebs gehackt was. Wel is inmiddels duidelijk dat iCloud korte tijd vatbaar was een voor brute force methode.

Via de API van Find My iPhone was het mogelijk om een onbeperkt aantal keer te proberen een wachtwoord van een iCloud-account te raden. Normaal worden accounts na een aantal incorrecte logins automatisch geblokkeerd, maar bij find my iPhone was deze beveiliging niet geïmplementeerd.

Hierdoor konden hackers door middel van een speciaal script, genaamd iBrute, tijdelijk geautomatiseerd passwords raden door middel van een brute force attack. Inmiddels heeft Apple ook Find my iPhone voorzien van de juiste beveiliging en werkt de iBrute-methode niet meer.

De inmiddels onschadelijk iBrute-tool in actie. Het bestaan van de iBrute-tool wil niet zeggen dat de accounts van de sterren ook via deze methode gehacked zijn. Door middel van een iCloud-wachtwoord is geen directe toegang te verkrijgen tot de foto’s op een iPhone, er moet dan eerst een back-up teruggezet worden op een lege iPhone. Metadata in de gepubliceerde foto’s zou bovendien niet direct wijzen op dat deze met een iPhone gemaakt zijn.