<sarcasme>Dus ze kunnen iemands data in de cloud lezen met het id en wachtwoord... goh, knap hoor.</sarcasme>

<antisarcasme;-)>Er zal vast wel een database zijn die de relatie legt tussen gebruiker en id, die met een 'juridisch bevel' op te vragen is.<einde ;-)>

iCloud is een 'public' cloud dus weet je m.i. nooit precies wie er in ieder geval toegang toe hebben.
Dat is met alle data die je opslaat in welke public cloud dan ook denk ik. Of kan iemand mij uitleggen hoe je dat kan voorkomen als eindgebruiker van een public cloud oplossing.
bv dropbox, icloud oid

Elcomsoft begint ook steeds meer een gebakken lucht club te worden... Duh...

Als ik zie hoeveel apple accounts er per dag gekraakt worden vind ik dit best wel een interessant artikel.

Alleen als een backup met encryptie wordt opgeslagen is het nog enigszins veilig. Ik zeg enigszins want de encryptiesleutel moet je dan natuurlijk zeer goed beschermen. Ik gebruik dan dus ook geen iCloud. Ik vind een backup op mijn pc thuis genoeg. Dan moet je fysiek inbreken en het wachtwoord van mijn pc kennen.

Dat data in de 'cloud' voor iedereen te benaderen is (met of zonder userID & password) is op zich niets nieuws, maar dit geeft wel aan om extra voorzichtig te zijn met wat je op je smartphone zet. Mede doordat tegenwoordig een hoop 'automatisch' wordt gesynchroniseerd.
Dit toont ook aan dat in principe smartphones waaronder iPhones in principe beter niet kunnen worden gebruikt in (bedrijfs)omgevingen waarbij vertrouwelijke data wordt gebruikt.

Het wordt weer tijd voor de 'good old' terminal emulatie, waarbij data niet lokaal of in de cloud wordt opgeslagen, maar gewoon in de serverruimte/bunker van het bedrijf.

Er komen een aantal vragen in mij op.
1. Met een Apple ID en password lijkt het mij logisch dat iemand toegang heeft tot iCloud en data kan terughalen.
2. Er kan password recovery plaatsvinden die blijkbaar slecht beveiligd worden opgeslagen in het apparaat. En je weet het: wanneer zij dat kunnen kan een ander het ook.
3. In de backup zit uiteraard gegevens over de bron van de data omdat er bij een systeemrecovery verbinding moet worden gemaakt met het oorspronkelijke systeem.

Wat er mijns inziens gebeurd is dat de cloud data alleen naar een andere, forensische, omgeving wordt verplaatst, waarbij de standaard voorzieningen van Apple apparaten kunnen worden gebruikt om toegang te krijgen tot dit apparaat.
Alleen de Apple ID gegevens zijn dan nodig, maar deze kan Apple afstaan wanneer er een gerechtelijk bevel ligt.
Tot zover niets nieuws onder de zon, behalve dan dat de rechten van clouddata in een publieke cloudomgeving niet bij jou liggen. Er zal omgetwijfeld iets in de algemene voorwaarden staan vermeldt.

Wat mij wel zorgen baart is het thema password recovery. Voor mij staat recovery gelijk aan password cracking.
Blijkbaar worden deze of slecht beveiligd opgeslagen of is er een backdoor aanwezig.
Uit de beschrijving lees ik dat er dictionary aanvallen plaatsvinden.
Ik begrijp nog steeds niet waarom niet alle systemen en applicaties voorzien worden van een "max. retries" die een apparaat tijdelijk blokkeren wanneer er een aantal mislukte pogingen worden gedaan bij het inloggen.
Dat is toch wel de minimale security eis op het gebied van wachtwoorden.
Zeker wanneer je praat over remote login sessies, zonder dat fysieke toegang nodig is.

Tja, met google play kan dat ook, hoewel er geen online opslag is kan je wel remote programma's installeren. Het valt natuurlijk iets meer op, maar dan is het kwaad/kopieren al geschied.