We zitten hier op MacFreak, maar af en toe lijkt het toch de moeite om ook even te waarschuwen voor problemen die voor kunnen komen als je Apple services met Windows gebruikt. Eén van die problemen is dat als je een verbinding met iCloud maakt onder Windows dat je geen waarschuwing krijgt als iemand anders tussen jou en iCloud zit en net doet alsof hij de iCloud-server is.

Deze man-in-the-middle hack is ook mogelijk als je OS X gebruikt, maar je krijgt dan een waarschuwing dat het beveiligingscertificaat niet klopt. En we hopen natuurlijk dat op dat moment niemand verder gaat. Want een beveiligingscertificaat dat niet klopt op een verbinding waarvan de beveiliging juist erg belangrijk is lijkt ons voldoende waarschuwing.

Ondertussen is het natuurlijk redelijk gênant voor Apple, een bedrijf dat zich profileert met de veiligheid die het biedt, dat mensen met Windows kennelijk zo kwetsbaar zijn.

En dat ze kwetsbaar zijn lijkt te blijken uit het feit dat gebruikers van de iPhone, iPod touch en iPad in Australië nu melden dat ze plotseling hun iDevice niet meer in kunnen en dat ze daarvoor geld zouden moeten betalen aan 'Oleg Pliss'. Kennelijk hebben kwaadwillende hackers daar de wachtwoorden van die mensen in handen en misbruiken ze Find My iPhone om de iPhones zelf te blokkeren.

Dat dit probleem vooral in Australië voorkomt lijkt ons een aanwijzing dat daar iemand de man-in-the-middle hack heeft toegepast, en op redelijk grote schaal iCloud wachtwoorden heeft buitgemaakt. Eén van de mensen die daar last van had doet zijn relaas op Apple Support Communities, we geven die link omdat daar ook meteen een oplossing bij staat die voor hem gewerkt heeft.

In de tussentijd hopen we dat Apple dit beveiligingslek zo snel mogelijk oplost, volgens ons is dat het minste wat ze op dit moment zouden moeten doen.

Update: Apple heeft een verklaring uitgegeven waarin het bedrijf duidelijk maakt dat het hier niet om een hack van iCloud gaat, maar om een geval waarbij mensen waarschijnlijk hetzelfde wachtwoord voor verschillende sites gebruiken.

Apple takes security very seriously and iCloud was not compromised during this incident. Impacted users should change their Apple ID password as soon as possible and avoid using the same user name and password for multiple services. Any users who need additional help can contact AppleCare or visit their local Apple Retail Store.

Waarbij dus nog steeds niet duidelijk is hoe de kwaadwillenden hier aan het wachtwoord zijn gekomen.



met dank aan forumleden 'Pieterr' en 'Spooter', die melding deden van deze problemen op ons forum

Dat was géén MITM attack. http://www.intermactivity.be/forum/showthread.php?123525-Australische-iphone-amp-ipads-gegijzeld-door-malware, post #10:

Je hebt natuurlijk gelijk, maar dit is een totaal falen van de icloud. Kunnen de gebruikers niks aan doen. Het is geen MITM, geen phishing, geen server-ergens-anders-waar-dezelfde-paswoorden-gevonden-zijn, geen gehackte iphone, maar Apple's eigen, zogezegd secure servers.

En Apple is zich al aan het indekken: de Apple Support Community link levert een error 404 op. Deze namiddag nog niet. Hoe ernstig kan het zijn?

En nog eentje, ingeleid door Dante: " an wie hier binnengaat: verzaak aan alle hoop".
https://medium.com/message/81e5f33a24e1
Sublink van bovenstaande.

De laatste voor vanavond:
https://discussions.apple.com/thread/6270410?start=0&tstart=0
Hopelijk werkt deze wél.

Werkt dus niet zomaar. Ik snap niks van jullie forumsoft.
Copiëren en in een nieuw venster plakken lukte me wél, voor wie interesse mocht hebben.

@ HEXDIY: hoe weet jij zo zeker dat het gen MIDM attack was? In het draadje waar jij naar linkt hebben ze het over malware, maar ik zie daar geen enkel bewijs voor...

Internet bedreigingen verschoven al van virussen naar andere malware, en tegenwoordig zie je dat het accent op phishing en MITM ligt.

De bedreigingen op internet zijn dus niet meer middels een antiviruspakketje op te sporen en op te lossen. Die pakketten hebben overigens nooit nut gehad op OS X, maar ook met Windows 7 of nieuwer ben je tegenwoordig beter af zonder AV pakket, als je maar geen gebruik maakt van Internet Explorer.

Als AV pakketten niet (meer) helpen, dan betekent dat dat er een groter beroep op je gezond verstand wordt gedaan. Negeer geen veiligheidswaarschuwingen, reageer niet op mailtjes zogenaamd van je bank waar je je pas opnieuw moet activeren, geef niet overal zomaar je wachtwoord in als dat niet logisch lijkt, je wordt genept!

Om weer even on-topic te gaan: de kans op malware op iOS zonder jailbreak is nihil. De kans dat er door phishing of MITM iCloud inlog gegevens verkregen zijn waarmee iOS devices gelockt of gewist zijn is dan ook het meest waarschijnlijke scenario.

O ja, degene die nu nog Windows XP en/of MS Internet Explorer gebruikt, roept mogelijke beveiligingsproblemen over zichzelf af.

Reactie van Apple: http://www.zdnet.com/icloud-not-compromised-in-apple-id-attack-apple-7000029914/

"Apple takes security very seriously and iCloud was not compromised during this incident. Impacted users should change their Apple ID password as soon as possible and avoid using the same user name and password for multiple services. Any users who need additional help can contact AppleCare or visit their local Apple Retail Store."

Sophos: http://nakedsecurity.sophos.com/2014/05/27/apple-ransomware-strikes-australia-pay-oleg-100-or-else/

TheSafeMac: http://www.thesafemac.com/australians-getting-locked-out-of-ios-devices/

Probleem is nu dat je voor iedere inlog, website, app of internetdienst een ander wachtwoord moet hebben. Dit is natuurlijk niet meer te onthouden. Er zijn wel programma's die dat voor je doen (1Password bijvoorbeeld) maar ik moet er niet aan denken dat daar dan iets mee mis gaat, zoals nog wel eens met Apple's eigen keychain wil gebeuren.

Zelf ben ik dan ook heel kwetsbaar met slechts 3 verschillende naam/wachtwoord combinaties; 1 voor sites waarvan het voor mij niet uitmaakt of dat op straat komt te liggen, 1 die ik gebruik waar toch wat (kleine) geldbedragen mee gemoeid zijn of gegevens bevatten die ik toch liever beschermd hou zoals b.v. iCloud en 1 die ik alleen voor bankzaken gebruik.

Daarnaast heb je toch al te maken met allerlei wachtwoorden die je niet zelf kunt bepalen (zoals die voor MF). Deze administreer ik dan maar in mijn mailbox.

kiopoula om 10:53, 28-05-2014
Daarnaast heb je toch al te maken met allerlei wachtwoorden die je niet zelf kunt bepalen (zoals die voor MF). Deze administreer ik dan maar in mijn mailbox.

Het wachtwoord voor MacFreak kun je zelf bepalen.

AH, ja, klopt. Excuseer.

kiopoula om 10:53, 28-05-2014
Probleem is nu dat je voor iedere inlog, website, app of internetdienst een ander wachtwoord moet hebben. Dit is natuurlijk niet meer te onthouden...

Ooit gehoord van een ballpoint en een blaadje papier?
Ik heb - juist geteld - 56 internet-accounts met allemaal verschillende wachtwoorden en die beheer ik analoog ofwel met de hand geschreven.
Hier is al eens gesuggereerd in een ander draadje (ik weet niet meer welke) oei, ja en wat bij een inbraak? Nou, dààr zijn inbrekers naar op zoek hoor: een vodje papier!!
Soms krijg ik echt de indruk dat àlles met de computer moet volgens de Digi die-hards, die waarschijnlijk hun eigen handschrift niet meer kunnen lezen

Moraal: Mijn Mac mag gehackt worden en de hackers kunnen dan zoeken tot ze een ons wegen naar wachtwoorden en andere informatie die mij financieel zou kunnen benadelen. Ze zullen niets vinden.  

JGO om 13:42, 28-05-2014
Ooit gehoord van een ballpoint en een blaadje papier?

Zo af en toe verdien ik wat bij als troubleshooter bij zowel particulieren als bedrijven. Hoe vaak dat ik daarbij al ben tegengekomen dat men dat blaadje papier kwijt was! Of dat men wel wist dat het wachtwoord nu iets anders is, maar is vergeten op te schrijven! Kortom, ook dat werkt niet. Helaas.

We hebben een update bij het nieuwsbericht gezet.

Het blijft natuurlijk gevaarlijk. Apple geeft in de suggesties voor wachtwoorden allerlei onuitspreekbare wachtwoordsuggesties. Maar alles is te achterhalen via 1 ww van je mac. Wanneer dat gekraakt wordt dan ben je de sjaak. Toch?

ps redactie geeft helemaal niet dat jullie hier aandacht aanbesteden. iCloud op de pc is meer macfreak dan een nieuwe samsung uitvinding of misstap

Tja allerlei soorten wachtwoorden onthouden is ook een drama. En denkt iemand nu echt dat de gemiddelde gebruiker iets begrijpt van de waarschuwingen van valse / verlopen veiligheids certificaten etc. De gebruiksvriendelijkheid voor gebruikers zonder computer of software kennis holt achteruit door dit soort zaken.

schep075 om 13:04, 29-05-2014
De gebruiksvriendelijkheid voor gebruikers zonder computer of software kennis holt achteruit door dit soort zaken.

En helaas betekent dát, dat er extra mogelijkheden voor kwaadwillenden ontstaan.