《华尔街日报》：iPhone一项基本功能助犯罪分子窃取你的全部数字生活

Joanna Stern and Nicole Nguyen

2023-02-24

纽约——感恩节周末凌晨，雷汉·阿亚斯离开曼哈顿中城一家酒吧时，刚认识的一名男子抢走了她的iPhone 13 Pro Max。

短短几分钟内，这位31岁的劳动力情报初创公司高级经济学家就无法再登录她的苹果账户及与之关联的所有内容，包括照片、联系人和笔记。她说，接下来的24小时内，约1万美元从她的银行账户中消失。

全美各地的警局正堆积着类似案件。窃贼利用一种技术含量极低的伎俩，先观察iPhone用户输入解锁密码，然后窃取目标手机——以及他们的数字人生。

[阅读我们的指南，了解如何保护iPhone数据免遭窃贼盗取。]

这些窃贼正在利用全球逾10亿部活跃iPhone软件设计中的一个简单漏洞。该漏洞的核心在于设备解锁密码（即允许访问设备的数字短码）与账户密码（通常作为不同账户登录凭证的较长字母数字组合）。

仅凭iPhone及其解锁密码，入侵者能在数秒内修改与机主Apple ID关联的密码。这将导致受害者被锁定账户，包括iCloud存储的所有内容。由于解锁密码可开启设备存储的所有密码，窃贼通常还能洗劫手机上的金融应用。

“一旦进入手机，就像打开了百宝箱，“去年秋天退休的纽约警局侦探亚历克斯·阿吉罗说，他曾调查过一起备受瞩目的连环盗窃案。

他表示，过去两年里这座城市已发生数百起此类犯罪。“案件数量在增长，”他说，“这是一种高度依赖机会的犯罪行为。现在人人手机里都有金融应用。”

苹果公司一直以数字隐私与安全领域的领导者自居，将其紧密集成的硬件、软件和iCloud网络服务作为保护客户数据的最佳方案。一位苹果发言人表示：“安全研究人员一致认为iPhone是最安全的消费级移动设备，我们每天都在不懈努力，保护所有用户免受新出现的威胁。”

“我们对遭遇此事的用户深表同情，无论这类攻击多么罕见，我们都非常重视所有针对用户的攻击行为，”她补充说，公司认为此类犯罪并不常见，因为实施犯罪需要同时窃取设备和密码。“我们将持续加强防护措施，帮助确保用户账户安全。”

对近期盗窃案的调查揭示了苹果防护体系中可能存在的漏洞。该公司的防御机制主要针对常见攻击场景设计——比如网络黑客试图使用他人登录凭证，或街头窃贼抢夺iPhone意图快速销赃。

这些防御未必能应对深夜酒吧里年轻人聚集的混乱场景，捕食者在此与受害者套近乎，诱导他们泄露密码。一旦窃贼同时掌握密码和手机，就能利用苹果为便利性设计的功能：允许健忘的用户通过密码重置Apple账户密码。

乔治华盛顿大学计算机科学副教授亚当·阿维夫表示：“攻击者利用肩窥或社会工程学手段只是时间问题。“他补充说，在这些情况下，依赖手机作为可信设备会失效。

盗窃过程

所有接受《华尔街日报》采访的受害者都表示，他们的iPhone是在夜间外出社交时被盗的。有些人说手机刚被认识的人从手中抢走，另一些人表示遭到身体攻击和恐吓被迫交出手机和密码，还有少数人认为被下了药。他们次日醒来发现手机丢失，对前晚发生的事毫无记忆。

所有案例中，iPhone机主都被锁定了苹果账户。随后他们发现遭遇了数千美元的财务盗窃，包括通过Apple Pay消费、手机关联银行账户被清空、以及从PayPal控股公司旗下Venmo等转账应用盗取资金等不同组合。

谷歌的移动操作系统Android也存在类似漏洞。但执法官员表示，由于iPhone转售价值更高，使其成为更常见的目标。谷歌发言人表示：“我们的登录和账户恢复政策试图在允许真实用户实际场景中保留账户访问权，与阻止恶意行为者之间取得平衡。”

2022年1月22日晚，爱荷华州海厄瓦瑟某创意公司的艺术总监里斯·汤普森在明尼阿波利斯市中心与女友饮酒时，他的iPhone 12 Pro在酒吧丢失。次日上午当他尝试用其他设备登录苹果账户时，发现账户密码已被修改。他表示，信用卡通过Apple Pay产生了数千美元消费，Venmo账户也被盗取1500美元。

明尼苏达州检方称，42岁的汤普森先生是一起盗窃案的受害者，该团伙通过窃取iPhone及其密码从至少40名受害者处获利近30万美元。根据对据称是该团伙成员之一的阿尔丰兹·斯塔基的逮捕令，该团伙以携带苹果智能手机的酒吧顾客为目标，迅速通过这些设备访问账户进行洗劫，然后转售手机。斯塔基先生已对一项敲诈勒索罪名认罪，并被判处57个月监禁。此案中另有11名嫌疑人被控敲诈勒索。

23岁的斯塔基先生有轻罪前科，他表示除非得到补偿，否则不会发表评论。他的律师拒绝置评。

该案的首席调查员罗伯特·伊莱奇科中士表示，两到三名窃贼组成的团伙会去酒吧与受害者交朋友，经常要求他们打开Snapchat或其他一些社交媒体平台。他说，在这种互动中，他们会试图观察受害者用密码解锁iPhone。他补充说，如果他们一开始没有捕捉到密码，可能会试图让受害者把手机递给他们拍照，然后在归还前巧妙地将其关闭。iPhone重启后需要密码才能解锁。

“就像看着这个人反复在手机上输入密码一样简单，”伊莱奇科中士说，并补充说有时窃贼会偷偷拍摄受害者，以确保他们捕捉到正确的密码顺序。“有很多技巧可以让这个人输入密码。”

类似案件在奥斯汀、丹佛、波士顿和伦敦均有报道。

在纽约市，警方最初意识到这波新型犯罪浪潮的严重性，是通过一起死因不明的案件。

5月27日星期五，从华盛顿特区来访的约翰·安伯格在曼哈顿外出过夜，最后去了地狱厨房附近的一家酒吧。五天后，这位美国法律与司法中心33岁的外交与政治项目总监被发现死在他暂住的公寓里，钱包空空如也iPhone也不见了。

起初，警方怀疑这是一起普通的吸毒过量事件。但据安伯格的母亲琳达·克莱里称，他的家人随后发现他的银行账户、PayPal和Venmo账户中有数千美元被转走，信用卡也有可疑消费记录。她认为儿子的苹果账户密码被篡改了。

参与调查安伯格死亡案件的纽约警探阿吉罗先生（已于9月退休）表示，当局逐渐认定他是一伙专门针对纽约酒吧顾客的窃贼的受害者，这些窃贼通过应用程序洗钱并转卖手机。他补充说，据信该团伙与超过30起案件有关。

据知情人士透露，曼哈顿地区检察官办公室正在整理案件材料，准备提交大陪审团审理。

作案手法

理论上，苹果公司最新的安全创新技术本应能消除密码被截获的风险。苹果发言人指出，面容ID和触控ID功能可以完全避免手动输入密码的需求。

然而在纽约，部分官方机构曾建议将Face ID作为解锁手机的可能方式。该市夜生活办公室（市政厅与酒店业的联络机构）曾邀请一位演讲者，其建议酒吧常客禁用面部识别功能，理由是盗贼可能利用失去意识者的面部进行解锁。

但根据《华尔街日报》的报道和设备测试，密码破解才是更可能发生的情况。要在iPhone上更改某人的Apple ID密码，仅靠面部扫描是不够的：必须输入设备密码。密码修改完成后，系统会提供强制其他苹果设备（如Mac或iPad）退出Apple账户的选项，受害者将无法通过这些设备恢复访问权限。该软件从不要求用户在设置新密码前输入旧密码。本报记者实测可在1分钟内完成全部操作。

苹果发言人表示，该设计旨在帮助忘记账户密码的用户，并强调需要设备实体和密码双重验证。

窃贼获得新密码后，可关闭"查找我的iPhone"功能——该功能本可让受害者定位手机甚至远程抹除数据以保护隐私。关闭此功能还能让窃贼转售iPhone。

苹果近期推出了使用USB硬件安全密钥保护Apple ID的功能，但本报测试发现，仅凭设备密码仍可修改账户设置，甚至能用密码移除账户中的安全密钥。

损失情况

纽约一家科技公司的销售主管泰勒·阿希表示，2021年12月10日晚在纽约一家酒吧被人下药。他完全不记得手机是如何被拿走的。他只知道，拿走手机的人进入了他的银行应用，将他的银行借记卡添加到Apple Pay，并以他的名义开通了Venmo信用卡和苹果信用卡。

纽约警察局拒绝透露他们认为窃贼是如何获取目标手机的详细信息。

阿希先生的银行账户被转走了超过1万美元，他说他将这些账户的密码存储在苹果的iCloud钥匙串密码管理器中。根据《华尔街日报》的测试，该功能在成功进行Face ID或Touch ID扫描，或输入iPhone密码后会自动填充登录信息。在阿希先生和其他案例中，银行欺诈发生在受害者的生物识别信息不再对窃贼可用之后。

如果应用要求短信验证码作为登录的一部分（一种称为双重认证的安全措施），这些短信会发送到iPhone——也就是窃贼手中的同一部手机。

在通过密码登录银行应用后，《华尔街日报》能够将数字借记卡添加到Apple Pay，而无需实体卡或其PIN码。资金可以从借记卡转入Apple Cash，用于转账或在商店进行非接触式支付。

多名受害者表示，有人以他们的名义开通了苹果信用卡。这些卡迅速累积了数千美元的消费。通过苹果的Wallet应用申请苹果卡时，会自动填充可能存储在iPhone上的信息，如持卡人姓名、地址和生日。

苹果信用卡申请表确实要求申请人输入社会安全号码的后四位数字。受害者之一大卫·维吉兰提认为，窃贼正是从他iPhone XS Max的照片应用中获取了这些信息。

10月23日凌晨，这位房地产数据公司30岁的产品经理在曼哈顿下东区一家披萨店手机被盗后，发现有人试图通过Apple Pay从他的信用卡中消费1.5万美元，并以他的名义开了一张新的苹果信用卡。几天后当他重新登录苹果账户时，发现自己曾拍摄的敏感文件照片——护照、驾照、工资直接存款表和医疗保险文件——被收集在一个新建的相册中。

苹果照片、iCloud云盘和Google云端硬盘等应用现在都支持搜索图片和文档中的文字。《华尔街日报》测试发现，在苹果照片应用中搜索"SSN”（社会安全号码）和"TIN”（纳税人识别号）时，立即显示了一张存储在手机上的包含社会安全信息的1099税表照片。

本报采访的大多数受害者都已向警方报案。其中一位还向联邦贸易委员会提交了身份盗用投诉。他们的大部分银行和金融应用已退还了因欺诈活动造成的损失。

部分iPhone用户失窃后无法重新访问苹果账户。通过锁屏密码，窃贼可以修改Apple ID的备用邮箱和电话号码，并启用名为恢复密钥的安全功能。近期案例中，窃贼修改了苹果账户的联系信息并开启恢复密钥，导致忘记Apple ID密码的受害者无法使用账户恢复服务。

苹果公司发言人表示，账户恢复政策的设立是为了防止恶意行为者访问用户账户。

那些仍被锁定在苹果账户之外的人，往往失去了无法替代的东西。

在纽约酒吧外手机被盗后，拥有普林斯顿大学经济学研究生学位的阿亚斯女士立即尝试登录她的苹果ID并使用“查找我的iPhone”功能。但那时小偷已经更改了她的密码。经过数月多次联系苹果客服，她仍无法重新进入账户，因为小偷还启用了恢复密钥。

根据苹果的政策，如果启用了恢复密钥而用户无法提供，公司将不允许用户重新获得账户访问权限。

“我打开照片应用向上滑动，希望能看到熟悉的面孔，我父亲和家人的照片——它们都不见了，”阿亚斯女士说。“被告知永久失去所有这些记忆，这非常痛苦。”

[阅读我们的指南，了解如何保护你的数据免遭窃贼盗取。]

科迪莉亚·詹姆斯、丽莎·施瓦茨和内莉·吉文对本文有贡献。

联系作者 乔安娜·斯特恩，邮箱 [email protected]；妮可·阮，邮箱 [email protected]

本文发表于2023年2月25日印刷版，标题为《犯罪分子利用iPhone窃取数字人生》。