I september i fjor skjedde det en omfattende lekkasje av kjendisbilder, mest sannsynlig stjålet fra deres iCloud-kontoer. I etterkant lovte Apple at sikkerheten rundt deres tjenester skulle utvides, først og fremst med introduksjon av tostegs-verifisering på tvers av flere påloggingsrutiner.
Dette er selvsagt positivt, men ifølge Dani Grant i magasinet Medium, er ikke sikkerhetsrutinene så omfattende som man kanskje hadde håpet.
Grant testet autentisering på flere av Apples tjenester, og har funnet ut at det er fremdeles svært enkelt å få tilgang til Apple-tjenester uten å ha tostegs-autentisering aktivert.
Journalisten beviser det ved å logge seg inn på iMessage, iTunes, FaceTime, App Store og Apples webside, kun ved å bruke Apple ID og passord, selv med tostegs-autentisering aktiv. Bare ved innlogging til FaceTime fikk Grant opp en epost fra Apple om påloggingen.
Grant skriver altså at man fremdeles bare trenger et passord for å logge seg inn i uvedkommendes kontoer, og dermed kunne bruke dem til å etterligne andre, og få tilgang til deres sensitive informasjon. Det inkluderer kjøpshistorikk, adresse og telefonnummer.
Dette står altså i kontrast til Apples lovnader om å utvide autentiseringen til å omfatte flere tjenester, mener Grant, og ønsker å skape mer oppmerksomhet rundt sikkerhetsproblematikken på denne måten.
Les også:
- [17.09.2014] Nå har Apple blitt sikrere
- [08.09.2014] Slik skal Apple sikre iCloud
- [02.09.2014] FBI etterforsker iCloud-innbrudd