Apple maakte gisteren bekend dat ze een nieuw verificatie systeem gingen invoeren. Dit nieuwe systeem zou ervoor zorgen dat er een twee staps verificatie ging plaatsvinden. Deze stap zou het Apple ID en iCloud moeten beschermen tegen aanvallers. Een goed idee van Apple maar helaas is er alweer een nieuwe exploit naar voren gekomen.
Deze exploit heeft alleen effect op gebruikers die de twee staps verificatie nog niet hebben ingeschakeld. Maar dit is vooral in Nederland en België een probleem omdat de nieuwe procedure hier nog niet ondersteund word. De exploit is heel makkelijk uit te voeren en heeft eigenlijk helemaal geen technische kennis nodig. Tijdens de exploit worden ook de middelen die Apple zelf aanbied gebruikt.
Het is mogelijk door een kleine aanpassing van de url tijdens het Apple iForgot proces het proces zo te manipuleren. Hiermee word de geheime vraag overgeslagen en is alleen nog het e-mailadres en geboortedatum nodig om het wachtwoord te veranderen. Om veiligheidsredenen gaan wij hier niet vermelden hoe de link gemanipuleerd moet worden.
Apple heeft het probleem bevestigd en heeft de password reset pagina vlak voor deze blog offline gehaald, hiermee zijn de gebruikers voorlopig beschermt. Het is te hopen dat Apple snel een oplossing voor het probleem doorvoert en vooral ook de twee wegs verificatie in de BeNeLux inschakelt. Hopelijk is dit ook de laatste melding voor Apple, want dit is de vierde exploit binnen 1 maand.