Sinds een paar maanden biedt ook Apple tweefactorauthenticatie (2FA) voor Apple ID-accounts. Deze extra beveiliging is zeer beperkt en voorkomt niet dat kwaadwillenden bestanden en backups uit de iCloud kunnen ontvreemden als ze inloggegevens hebben. Dat ontdekten en testten onderzoekers van Elcomsoft.

iCloud-data niet veiliger

Bij andere cloudaanbieders, zoals Google en Microsoft, moet toegang vanaf elk nieuw apparaat worden bevestigd met een nieuwe code vanaf de mobiel. Dit om te voorkomen dat kwaadwillende die gebruikersnaam en inlog achterhaald hebben (bijvoorbeeld door phishing of een hack) vanaf hun eigen pc het account en de bestanden kunnen kapen.

Apple’s tweefactor authenticatie wordt, indien geactiveerd, echter alleen ingezet als het wachtwoord of andere accountgegevens wordt gewijzigd of bij een financiële transactie met het Apple ID, zoals een aankoop in de iTunes- of App Store.

Valse verwachtingen

Nieuwe, 'onbekende' apparaten kunnen echter zonder deze tweefactorbeveiliging toegang krijgen tot data in de iCloud, zo testte Elcomsoft. Het concern merkt op dat Apple overigens niet claimt dat het daarvoor wel extra veiligheid biedt. Maar Apple zou met de uitrol van de 2FA in de huidige vorm de verwachtingen van deze extra beveiliging in het geheel niet waarmaken.

Dat vindt ook security-expert Per Thorsheim. “Mensen verwachten dat 2FA extra beveiliging biedt om hun data te beschermen, maar anders dan Dropbox en Google, doet Apple dit niet. Het is veruit de zwakste 2FA-oplossing tot nog toe van de grote (cloud)aanbieders, en het levert slechts een extra laag van valse beveiliging in de perceptie van gebruikers, en dat kan gevaarlijke gevolgen hebben”, aldus Thorsheim tegen Ars Technica.