Muutama viikko sitten ne alkaen Apple on ottanut käyttöön uuden suojausjärjestelmän Apple IDCE, antaa Apple ID:n haltijoille mahdollisuuden lisätä iTunes-tileilleen uuden "suojauskerroksen", iCloud, jne. Haluavat tarkistaa, kuinka haavoittuvia he ovat Apple IDja tiedot kohteesta iCloud näiden turvatoimien käyttöönoton jälkeen Elcomsoftin toimenpiteet alkoivat Testata järjestelmässä ja valitettavasti tuli siihen tulokseen, että iCloud-varmuuskopiomme ovat suojaamattomia.
Nykyisessä toteutuksessaan Applen kaksivaiheinen todennus ei estä ketään palauttamasta iOS-varmuuskopiota uuteen (ei luotettuun) laitteeseen. Lisäksi, ja tämä on paljon suurempi ongelma, Applen toteutus ei koske iCloud-varmuuskopioita, joten kuka tahansa ja jokainen, joka tietää käyttäjän Apple ID:n ja salasanan, voi ladata ja käyttää iCloudiin tallennettuja tietoja. Tämä on helppo tarkistaa; kirjaudu vain iCloud-tilillesi ja saat täydelliset tiedot kaikesta sinne tallennetusta ilman, että sinulta pyydetään muita kirjautumistietoja.
Käytännössä Apple suojelee nyt käyttäjiä päätelaitteilla tehdyiltä ostoksilta, joita yritys ei ole vahvistanut ja pyytää heitä syöttämään suojatiedot oston yhteydessä, mutta sama ei tapahdu tapauksessa iCloud. Jos henkilö, joka tietää käyttäjätunnuksemme ja salasanamme, haluaa asentaa varmuuskopion päätelaitteelle, jota Apple ei ole vahvistanut, mikään ei estä häntä tekemästä sitä, koska iCloudilla ei ole saatavilla samoja turvatoimia suojellakseen meitä.
ElcomSoftin mielestä tämä ei vain ole oikea tapa tehdä tämä turvallisuusnäkökulmasta. iCloudia on käytetty hyväksi aiemmin (katso Norwegian Teenagers Hacking iCloud-tilejä) ja sitä hyödynnetään myös tulevaisuudessa. Minulle tässä tarinassa on kyse Applen tarjoamasta 2FA [kaksitekijätodennus] -ratkaisusta, joka ei oikeastaan lisää sinulle paljon lisäturvaa (tiedostot, asiakirjat jne.), mutta se suojaa heitä (ja sinua) luvattomilta rahasiirroilta ja muutoksia tiliisi.
Ajatus olla toteuttamatta tätä monimutkaista turvajärjestelmää voisi perustua siihen, että käyttäjät eivät ole niin innoissaan ajatuksesta, että heidän on syötettävä salasanoja salaisia kysymyksiä varten joka kerta, kun he kirjautuvat uuteen päätteeseen. Kaksivaiheinen todennusjärjestelmä on monimutkainen, se suojaa käyttäjiä, mutta siitä voi tulla ongelma käytössä, ja Apple on saattanut tehdä päätöksen olla toteuttamatta sitä juuri helpottaakseen käyttäjien vuorovaikutusta iCloudin kanssa.
Huolimatta Applen motivaatiosta, on epätodennäköistä, että järjestelmää ei toteuteta myös iCloudissa, varsinkin kun kaikki alkavat pian surra sen puuttumista.
