Computest security researcher én ethical hacker Thijs Alkemade heeft een ernstige kwetsbaarheid gevonden waardoor het mogelijk was om zonder autorisatie toegang te verkrijgen tot Apple iCloud accounts van andere gebruikers. Dit lukte door de nieuwe TouchID-feature voor het inloggen op websites te misbruiken.
Thijs beschrijft uitgebreid in zijn blogpost hoe hij te werk is gegaan en geeft tevens een aantal voorbeelden van hoe kwaadwillenden konden inloggen op Apple iCloud accounts van andere gebruikers. Een van deze voorbeelden is uitwerkt tot een volledige aanval, waarvan we in een video laten zien hoe een testaccount overgenomen kon worden.
De kwetsbaarheid is door Thijs direct gemeld aan Apple en zij hebben dit met hoge prioriteit opgepakt en opgelost. Lees meer over deze kwetsbaarheid.
Tijdlijn kwetsbaarheid en security-update:
- September 2019 - introductie nieuwe Touch ID feature met iOS 13 en Mac OS 10.15.
- 10 februari 2020 - Thijs Alkemade meldde de kwetsbaarheid bij Apple via Responsible Disclosure
- 13 februari 2020 - Apple heeft de security-update doorgevoerd