Apple is al sinds eind maart op de hoogte van een kwetsbaarheid in iCloud, waardoor kwaadwillenden achter het wachtwoord van gebruikers konden komen via brute force-aanvallen. Desondanks duurde het tot augustus voordat Apple met een oplossing kwam.
De in Londen wonende ontwikkelaar Ibrahim Balic bracht Apple op 26 maart op de hoogte van de kwetsbaarheid en hij kreeg nog diezelfde dag antwoord, schrijft nieuwssite Daily Dot op basis van de mails van de ontwikkelaar. Die ontwikkelaar is bovendien geen vreemde voor Apple: de fabrikant bedankte hem eerder al voor het rapporteren van een xss-bug.
Een Apple-medewerker benaderde hem nog eens in mei met de vraag voor meer informatie en leek slecht op de hoogte van wat Balic precies bedoelde. Toen de iPhone-maker de kwetsbaarheid vernam via een script op Github, bleek een fix binnen korte tijd mogelijk.
De kwetsbaarheid hield in dat gebruikers ongelimiteerd wachtwoorden konden raden voor de Find my iPhone-dienst op iPhone-toestellen. Als kwaadwillenden dat wachtwoord hadden achterhaald, konden ze daarmee ook op andere diensten van iCloud inloggen. De kwetsbaarheid kwam naar buiten toen Apple onder vuur lag nadat er foto's uit iCloud-accounts van Amerikaanse actrices en andere beroemdheden naar buiten kwamen. Het is onbekend of de kwetsbaarheid is misbruikt om sommige of alle foto's te stelen.
Naar aanleiding van de zaak met de gestolen naaktselfies van beroemdheden heeft de iCloud-beheerder maatregelen genomen. Zo krijgen gebruikers een seintje als iemand van een ander apparaat dan gebruikelijk inlogt en moedigt het gebruikers aan om tweetrapsauthenticatie te gebruiken.