Apple Klíč zotavení
V roce 2020 spustil Apple novou bezpečnostní funkci „Klíč zotavení“ (Recovery Key). Jedná se o náhodně vygenerovaný řetězec 28 znaků, který se uživateli objeví na obrazovce pouze jednou a to právě po vygenerování. Následně je jeho zahashovaná forma uložena na serveru.
Slouží jako záložní způsob získání kontroly nad svým Apple ID účtem v případě ukradení účtu, ztráty přihlašovacích údajů nebo neuspěšného ověření totožnosti při přihlášení k účtu. Pokud uživatel ztratí nebo zapomene heslo, může použít Klíč zotavení k obnovení přístupu k účtu.
Lze ho vygenerovat pouze se znalostí přístupových údajů do zařízení s daným Apple ID účtem. Jeho vytvořením se zruší všechny ostatní možnosti zpětného získání kontroly nad svým účtem.
Problém nastává v případě, kdy někdo ukradne iPhone a před tím pomocí sociálního inženýrství, nejčastěji shoulder sufringu, získá přihlašovací údaje k ukradenému zařízení. Pokud se mu to podaří, může odstranit nebo změnit Klíč zotavení a zabránit tak uživateli v přístupu k jeho účtu. A následně se změněným Klíčem zotavení získá přístup k účtu okradeného a může na něm změnit všechna hesla, aby už se na něj jeho původní majitel nikdy nedostal. Zároveň může používat všechny účty ostatních služeb, které jsou s ním propojené.
Ani zrušní tohoto obnovení účtu není řešením, protože bez něj nefunguje správně synchronizace účtu. Jediným efektivním způsobem pro zamezení této zranitelnosti je zapnutí dvoufaktorového ověření, protože to ztíží pachateli přístup do zařízení a mezi tím může opravdový majitel změnit přístupové údaje pomocí svého bezpečnostního řetězce. Ale ani toto není stoprocentní zabezpečení.
Jak ale upozorňuje server Forbes, tato situace by neměla být tak dramatická, jak se zdá. Podle expertů totiž zloděj potřebuje fyzický přístup k ukradenému zařízení a více technických znalostí, aby mohl tuto zranitelnost využít. Navíc by musel nejdříve získat přístup k heslu, než by mohl začít pracovat se službou Keychain.
Je ovšem pravda, že pro uživatele, kteří nemají nastavenou dvoufaktorovou autentizaci pro svůj Apple ID účet, může být tato situace zvláště problematická. Zloději mohou totiž použít ukradený iPhone k přístupu k uživatelským účtům, které jsou propojené s Apple ID, např. bankovní účty nebo sociální média.