Wachtworden krijgen geen hash mee voor ze naar de server worden verstuurd, zegt beveiligingsonderzoeker Mark Loman. Vooral Windows-gebruikers die muziek of films kopen via iTunes, of inloggen bij iCloud. Ook OS X-gebruikers hebben met de kwetsbaarheid te maken, al krijgen zij wel een waarschuwing te zien dat hun certificaat niet beveiligd is.

Geen hash

Niet alleen worden de wachtwoorden ongehasht verstuurd, maar ook de ssl-verbinding is kwetsbaar voor een man-in-the-middle-aanval. Daarmee kunnen kwaadwillenden een computer tussen die van het slachtoffer en de server van Apple zetten om het ongehashte wachtwoord te achterhalen.

Daarvoor is het overigens wel nodig dat de inbreker op hetzelfde netwerk zit als het slachtoffer, bijvoorbeeld via een openbaar wifi-netwerk.

iOS-ontgrendeling

Ook is het volgens Loman mogelijk via de onbeveiligde verbinding toegang te krijgen tot vergrendelde iOS-apparaten. Via een gehackte iCloud-verbinding kunnen hackers een iPhone of iPad die geblokkeerd zijn, toch ontgrendelen.