Apple tillämpar inte sin tvåfaktorsautentiseringssäkerhet (2FA) (som kräver att du ger ytterligare identitetsbevis) på alla sina iCloud-tjänster. Denna tillsyn kan göra det ganska enkelt för en främling att radera din iPhone, Mac eller iPad. En elev lärde sig detta på det svåra sättet när någon oskälig (ar) misstänkt (ar) nästan utnyttjade bristen mot honom.

Upphovsman: GongTo / Shutterstock.com
(Bildkredit: GongTo / Shutterstock.com)

Kapil Haresh Vigneswaren, doktorand vid datavetenskap vid University of Waterloo i Kanada befann sig i mitten av en sådan attack när han upptäckte att någon använde Apples Find My iPhone för att ringa sin enhet och låsa den genom att aktivera Lost Läge.

I ett blogginlägg, Detaljerade Kapil attacken, som fortsatte med att hans iPhones skärm dimmades och presenterade meddelandet, "Hej varför låste du min iPhone haha. Ring mig på (123) 456–7890. ”Angriparen ville sannolikt ha ett telefonsamtal för att lösa ut några pengar från Kapil, men Kapil ringde aldrig numret.

MER: Bästa Android-antivirusappar - mobil säkerhetsprogramvara

Eftersom Kapil insåg att angriparen hade utnyttjat funktionen Hitta min iPhone tog Kapil omedelbart sin iPhone och MacBook Pro offline för att förhindra att lösenordet formaterade Apple-produkterna. Efter att Kapil ändrat sina lösenord och tagit tillbaka sina enheter online upptäckte han väntande raderingsförfrågningar för både sin telefon och laptop, som var lätta att avvisa.

Det som är olyckligt med denna omständighet är att Kapil tog ett av de mest ansvarsfulla steg som en användare kan ta: Han aktiverade 2FA-säkerhet för sitt iCloud-konto efter den ökända uber-hack av Mat Honan. Men det visar sig att Apples 2FA-implementering inte täcker Hitta min iPhone, Apple Pay eller Apple Watch inställningar, eftersom dessa alternativ visas längst ner på skärmen efter att du har angett ett kontos användarnamn och Lösenord.

Vi pratade med Kapil, och medan han inte kan identifiera hur angriparen fick åtkomst till sitt användarnamn och lösenord, sa han att han inte är ensam. En annan användare hävdade att han hade fått tillgång till sitt iCloud-konto trots att "använda ett helt slumpmässigt lösenord" som inte återvanns för andra konton.

Om Apple inte hittar ett sätt att begränsa Hitta min telefon till enhetsägare kommer det att fortsätta att sätta sina användares data och sekretess i fara.

Vissa kan hävda att Hitta min iPhone inte borde kräva en andra autentiseringsnivå, eftersom den saknade iPhone inte kan användas för att ta emot koden som skickas ut. Det är dock inte ett tillräckligt bra argument, eftersom den nuvarande implementeringen ger för mycket kraft till alla som har räknat ut ditt Apple-ID och lösenord. Det är här säkerhetsfrågor och svar som Apple tar bort när du ställer in 2FA kan visa sig vara användbara.

Apple kunde också ha låst ut angriparen genom att hålla reda på enheter och geolokaliseringar. Kapil använde signaturen längst ner på Hitta min iPhone för att utesluta att attacken hade kommit från Irland - ganska långt från hans telefons vanliga plats i Ontario, Kanada. Vidare visar e-postmeddelanden som skickats till Kapil att begäran skickades från en Windows-dator, vilket kunde ha höjt en annan röd flagga, eftersom han oftast loggar in från Mac-datorer.

Du kan komma åt Hitta min iPhone utan att använda 2FA för att verifiera din identitet.
Du kan komma åt Hitta min iPhone utan att använda 2FA för att verifiera din identitet.

Det andra oavsiktliga problemet med att inte begränsa Find My iPhone-åtkomst med 2FA är att det gör det möjligt för angripare att se var du (förutsatt att du har enheten) är. Visst, det här är den avsedda effekten av Find My iPhone, men det gav Kapils motståndare också hans exakta geografiska läge. Om Apple inte hittar ett sätt att begränsa Hitta min telefon till enhetsägare kommer det att fortsätta att äventyra användarnas data och sekretess.

Under tiden är vårt bästa råd enkelt: Använd komplexa, svårt att gissa lösenord och se upp för misstänkta meddelanden på din iPhones skärm.

Vi kontaktade Apple, men företaget nekade att kommentera.

  • 12 Datorsäkerhetsfel du förmodligen gör
  • Vad ska du göra om ditt personnummer stulits?
  • Bästa antivirusskydd för PC, Mac och Android

Få omedelbar tillgång till nyheter, de hetaste recensionerna, bra erbjudanden och hjälpsamma tips.

Tack för att du registrerade dig i Toms guide. Du kommer att få ett verifieringsmeddelande inom kort.

Det var ett problem. Uppdatera sidan och försök igen.

Ingen skräppost, vi lovar. Du kan när som helst avsluta prenumerationen så kommer vi aldrig att dela dina uppgifter utan ditt tillstånd.