De 19-jarige Kieran Claessens heeft een lek gevonden in iCloud van Apple. Door het lek kon hij het account van anderen op een gemakkelijke wijze overnemen. Apple heeft het lek erkend en inmiddels gedicht. Met zijn vondst kwam de jonge Vlaming in de ‘Hall of Fame’ van het bedrijf.
Claessens paste een manier van phishing toe binnen de iCloud. ‘Als gebruiker heb je de functie om een wachtwoord op je bestanden te zetten. Met dat wachtwoord kan je ook een hint instellen wat je eraan kan herinneren wat je wachtwoord is als je het vergeten bent. Bij het veld waar je de hint in kunt voeren kon ik code injecteren.’
Claessens kon een geïnfecteerd iCloud-bestand met het doelwit delen. Omdat het bestand zich daadwerkelijk in iCloud bevindt is het aannemelijk dat iemand hier op ingaat. Door een fout wachtwoord voor het bestand mee te geven laad na drie keer een fout wachtwoord het script van Claessens. ‘Het slachtoffer zou hier niets van zien en als het programmaatje eenmaal draait kon ik de sessie volledig overnemen en de gebruikersnaam en het wachtwoord van diegene overnemen.’
Voor het vinden van het lek had Claessens niet veel tijd nodig. ‘Na 15 minuten proberen kwam ik achter het lek, terwijl het een van de belangrijkste functionaliteiten van de beveiliging van de iCloud is.’ Claessens schrok wel van het grote lek, maar heeft er ook een uitleg voor. ‘Apple geeft geen geld aan mensen die een lek vinden. Daar is Google bijvoorbeeld heel anders is, daar krijg je wel een groot bedrag uitgekeerd. Dat motiveert mensen om wel bij Google te kijken en minder bij Apple.’
