《华尔街日报》：窃贼用来将你锁定在苹果账户之外的iPhone设置

格雷格·弗拉斯卡自十月起就被锁在自己的苹果账户外，为了重新进入账户他愿意尝试任何方法。

他提出从佛罗里达州飞往苹果加州总部当面验证身份，或开具一万美元支票赎回账户。该账户存有他小女儿们八年来的唯一照片存档。

这一切始于窃贼在芝加哥某酒吧偷走弗拉斯卡的iPhone 14 Pro后，他们不仅想盗空其银行账户，还企图阻止他远程追踪被盗手机。犯罪分子利用开机密码修改了这位46岁用户的Apple ID密码，并启用了名为"恢复密钥"的隐蔽安全设置，为其账户套上了无法破解的枷锁。

我们曾在二月报道过，窃贼常在夜间场所窥视iPhone用户输入密码后实施盗窃。凭借这四到六位数字，罪犯能修改苹果账户密码，并通过Apple Pay和金融应用盗刷数千美元。

报道发布后数十名受害者联系《华尔街日报》，证实纽约、新奥尔良、芝加哥和波士顿等至少九个美国城市发生过类似案件。多数人能追回资金，但被窃贼用恢复密钥锁在苹果系统外的用户面临更大挑战：需突破苹果复杂的政策壁垒才能找回照片、联系人、备忘录、信息等重要数据。

窃贼通过启用iPhone设置中的恢复密钥，永久锁定失主对其苹果账户的访问权限。图片来源：华尔街日报苹果公司于2020年推出可选恢复密钥功能以防范网络黑客。启用这组28位唯一代码的用户在重设Apple ID密码时必须提供该密钥。

掌握您密码的iPhone窃贼可开启恢复密钥将您拒之门外。若您已启用恢复密钥，他们能轻松生成新密钥，同样会导致您无法访问账户。

苹果的政策使用户在丢失恢复密钥后几乎无法找回账户。目前，iPhone被盗可能意味着灾难性的个人损失。

“我们对遭遇此情况的用户深表同情，无论发生概率多低，我们都极其重视所有针对用户的攻击行为。”苹果发言人表示，“我们每日不懈努力保护用户账户与数据，并持续研究针对此类新型威胁的额外防护措施。”

一键锁死账户的开关

用户在安全设置中激活恢复密钥后需将其妥善保存。若遗忘或丢失Apple ID密码，可联系苹果官方，公司会向账户绑定手机号发送验证码，随后要求提供恢复密钥代码。

如果黑客通过一种名为SIM卡劫持的手段控制了您的电话号码，恢复密钥将保护您，因为黑客无法提供该密钥。正如苹果公司在其官网上警告的那样，丢失密钥意味着“您可能被永久锁定账户”。

只要您能访问iPhone，无需任何额外凭证即可添加或重置恢复密钥。苹果公司称这是一项便利措施。然而，这也让窃贼更容易得手。

今年8月，24岁的卡梅隆·德文在波士顿一家酒吧被盗走iPhone 13 Pro后，他表示自己与苹果客服通话数小时，试图找回十多年的数据。每位客服代表都告诉他同样的话：没有恢复密钥，就无法访问。德文先生表示他从未听说过这个密钥，更不用说设置过了。

用户与账户恢复的博弈

“账户恢复对行业来说是个巨大挑战，”FIDO联盟执行董事安德鲁·希基阿尔表示。该非营利组织负责制定苹果等公司实施的安全标准。他指出，科技公司面临的主要问题是在用户忘记密码、无法使用双重认证或丢失设备时，如何验证其身份。

优步等公司正在使用面部识别技术，将自拍与政府身份证进行匹配验证。“并非所有人都愿意接受面部扫描，”希基阿尔先生说。

在苹果密码重置流程中无法提供28位恢复密钥的用户，永久失去了多年积累的珍贵数据。图片来源：华尔街日报领英近期宣布通过与Clear公司合作推出职场及身份验证服务，该公司以面向航空旅客的生物特征快速筛查技术闻名。Instagram要求部分用户上传视频自拍进行身份确认。Tinder用户需上传驾照或护照完成年龄验证。银行则运用多重信号来保护应用登录及交易安全。

许多受害者向苹果提交了护照、驾照等身份证明文件以验证账户所有权。弗拉斯卡先生在致苹果的信件中甚至表示愿意接受DNA检测或视网膜扫描。苹果公司表示出于隐私考虑，系统并未存储此类生物特征数据。他和众多用户对缺乏其他账户所有权证明方式感到困惑。

其实苹果完全可以采用其他隐私侵害性更小的替代方案来代替恢复密钥机制。

如果有人接管了您的谷歌账户，谷歌的密码重置流程允许您提供恢复邮箱、电话号码或账户密码，之后即使账户被劫持者篡改信息，您仍可凭这些凭证重新获取访问权限。

在熟悉的Wi-Fi网络或常用地点进行操作，也有助于证明您的真实身份。谷歌发言人建议在账户设置中预先添加恢复电话号码和邮箱地址，以防不测。

特瑞·艾伦的iPhone 13 Pro于八月在纽约被盗，其账户内存储着包括年幼侄子照片在内的珍贵影像。

经过数月与苹果客服的通话及致信公司说明窃贼如何掌握其28位恢复密钥后，他表示终于遇到一位采取进一步行动的客服代表。艾伦先生称，在回答额外验证问题后，苹果禁用了该恢复密钥，他随后重置密码并重新获得了账户访问权。

艾伦先生表示自己使用了部分苹果企业服务，这可能是其能恢复账户的原因。苹果公司未就艾伦个案及其他用户无法找回账户的原因置评。

“我只是运气好”，现年35岁的艾伦说道，他现在会将照片额外备份至其他服务。

应对措施

可通过某些方法防止窃贼利用您的设备密码启用恢复密钥。若遇盗窃，请参阅我们完整的数据保护指南。以下两项措施值得尝试：

设置复杂密码。 在公共场合应尽量使用面容ID，若无法使用时，请依赖包含字母和数字的字母数字密码。设置路径：前往"设置"＞“面容ID与密码”＞“更改密码”。选择新密码时，轻点"密码选项"。

对自己启用家长控制。 苹果的屏幕使用时间功能（原用于家长限制儿童账户）也可保护您的苹果账户。但需额外设置屏幕使用时间密码（切记不要与手机解锁密码相同）。

在设置中进入"屏幕使用时间"，下滑设置密码（若未设置）。随后进入"内容与隐私限制"，开启该功能。下滑至"允许更改"选项，点击"账户更改"并选择"不允许"。

——欲获取更多《华尔街日报》科技专栏分析、评测、建议及头条新闻，请订阅我们的每周通讯。

联系记者：Nicole Nguyen（[email protected]）与Joanna Stern（[email protected]）

本文发表于2023年4月20日印刷版，原标题为《骗子利用iPhone这一设置锁定您的苹果账户》