Apple’s implementatie van het WiFi-beschermingsprotocol WPA2-Enterprise vertoont gebreken, aldus Pieter Robyns, een master informaticastudent aan de UHasselt.
Eind januari 2014 ontdekte Pieter Robyns een bug in Apple’s implementatie van WPA2-Enterprise – een IEEE-standaard in de bescherming van draadloze netwerken in bedrijven. Hierdoor is het voor hackers en misdadigers mogelijk om een vals draadloos netwerk op te zetten, waar werknemers op inloggen in plaats van op het echte bedrijfsnetwerk. Zo kan informatie over onder meer gebruikersnamen en wachtwoorden worden verzameld, die vervolgens in het echte netwerk kunnen worden misbruikt door de aanvallers.
Probleem bevestigd door Apple
Na de ontdekking werd het probleem gemeld bij het Belgische Cert.be – het responsteam bij computersecurity-incidenten – en later ook bij Cert.org. Via het Vlaams digitaal onderzoekscentrum iMinds en het Expertisecentrum voor Digitale Media van de UHasselt werd ook Apple verwittigd, dat eind februari het probleem bevestigde.
Apple plant oplossing in iOS 8
Uit de studie van Pieter Robyns blijkt dat toestellen onder iOS 6 (.1.6, zoals in de iPod Touch), iOS 7 (.1, zoals in de iPhone 4 en 4S) en onder Mac OS X 10 (.8.2, Mountain Lion) kwetsbaar zijn voor dit veiligheidsrisico. Robyns testte ook toestellen onder Android 2.x (2.3.4), 4.x (4.4.2), Windows Phone 8.0 en Windows 7 (desktop), die evenwel niet onder dit probleem leden (wat andere problemen niet uitsluit). Apple plant het probleem op te lossen in iOS 8, dat momenteel in een bètafase zit en later dit jaar uitkomt.
Gezien de aard van draadloze netwerken en de mogelijke problemen inzake onrechtmatige toegang, benadrukken de onderzoekers de noodzaak om vertrouwelijke en kritieke informatie te bewaren “op servers die afgeschermd zijn met aparte toegangsrechten, in plaats van enkel te vertrouwen op de beveiliging van het draadloze netwerk.” Daarbij moet ook aandacht worden besteed aan de toegangsrechten vanuit toepassingen die gebruik maken van die informatie – al te vaak gebeurt dat op een te hoog niveau van toegangsrechten tot die servers.
Ook Apple’s implementatie van het Wifi-beveiligingsprotocol voor huisgebruikers – WPA2-PSK – werd onderzocht, maar dat bleek wel correct geïmplementeerd. Het gebruik van dit protocol in bedrijven is niet aangewezen.
