Apple heeft met de introductie van de iOS 11 de balans tussen veiligheid en gemak te veel laten doorschieten naar gebruiksgemak, zo stelt Oleg Afonin van softwarebedrijf ElcomSoft. Het bedrijf ontwikkelt onder andere forensische software waarmee politie en andere diensten bewijsmateriaal verzamelen.

Volgens Afonin was Apple de afgelopen jaren erin geslaagd om een compleet, meerlaags systeem te ontwikkelen om zowel het eigen hardware- als software-ecosysteem te beveiligen en klanten tegen veelvoorkomende dreigingen te beschermen. "Over het geheel genomen was het het veiligste mobiele ecosysteem op de markt. Maar dat is niet meer het geval", aldus de expert.

Met het verschijnen van iOS 11 heeft Apple verschillende aanpassingen doorgevoerd die het gebruiksgemak vergroten, maar ten koste van de veiligheid gaan. "Gecombineerd zorgen deze ogenschijnlijk kleine aanpassingen voor een vernietigende synergie, die effectief elke beschermingslaag van het voorheen veilige systeem wegstrippen", merkt Afonin op. Het enige wat de data van gebruikers, hun iOS-apparaat en andere Apple-apparaten die op het Apple-account zijn geregistreerd nog beschermt is de passcode.

Als voorbeeld geeft Afonin het back-upwachtwoord in iOS 8, 9 en 10, waarmee gebruikers in iTunes een wachtwoord voor hun back-up konden instellen. Zodra een wachtwoord was ingesteld, werden alle toekomstige back-ups op die computer en andere computers met dat wachtwoord beveiligd. Het wachtwoord werd onderdeel van het Apple-apparaat en niet van de computer of de iTunes-installatie waarmee het wachtwoord was ingesteld. Gebruikers die hun wachtwoord vergaten konden niet meer bij hun data. Ook als gebruikers hun wachtwoord wilden verwijderen of aanpassen moest eerst het oude wachtwoord worden opgegeven.

Met iOS 11 is het nog steeds mogelijk om een wachtwoord in te stellen, maar is het ook mogelijk om het eenvoudig via het instellingenmenu te resetten. Vervolgens kan er een nieuwe back-up worden gemaakt of data van het toestel worden gehaald, gaat de expert verder. In zijn betoog gaat Afonin ook in op het wijzigen van het Apple ID-wachtwoord en het verwijderen van het iCloud lock, waardoor het toestel op een ander account kan worden geactiveerd.

Het grote probleem volgens de expert is dat de passcode nog maar de enige bescherming is. Als een aanvaller deze code en het toestel heeft, heeft hij toegang tot alles. "Er is geen enkele extra beveiligingslaag", aldus Afonin. "Alles, en ik bedoel alles, is toegankelijk. Lokale back-ups, de Keychain, iCloud lock, Apple-accountwachtwoord, cloud-back-ups en foto's, wachtwoorden van de iCloud Keychain, gespreksoverzichten, locatiegegevens, browsegeschiedenis, browsertabs en zelfs het originele Apple ID-wachtwoord van de gebruiker." De expert adviseert dan ook om een passcode van minimaal zes cijfers te gebruiken en stelt dat het verder afwachten is of Apple met een oplossing komt.