苹果iOS 17.3"失窃设备保护"更新旨在防范iPhone盗窃 - 华尔街日报

Joanna Stern and Nicole Nguyen

苹果公司 正在为iPhone推出一项新的安全设置,此前《华尔街日报》报道了一种漏洞,该漏洞允许窃贼侵入受害者的设备并扰乱他们的生活。

《华尔街日报》报道了全国范围内的一系列盗窃案,犯罪分子利用iPhone用户的密码更改其苹果账户、访问保存的密码、窃取资金并将他们锁在iCloud存储的照片和视频之外。在纽约、芝加哥、新奥尔良、明尼阿波利斯等城市,窃贼在偷走目标设备前会观察iPhone用户输入密码。

正如《华尔街日报》报道所示,这些盗窃造成的损失远超手机本身,因为苹果的安全设置让受害者在密码落入他人之手后几乎无法防止损害。过去一年,我们收到了数百人的反馈,他们的iPhone和数字生活被窃取。

旨在防范此类攻击的新“被盗设备保护”设置正在向测试版用户发布。

苹果计划在即将发布的软件更新中包含这一设置。不过,用户需手动启用,且它无法覆盖iPhone上个人和财务信息面临的所有威胁。以下是您可能需要“被盗设备保护”的原因,以及即使启用后仍需考虑的事项。

工作原理

您的密码——那串用于解锁iPhone的简短数字组合——拥有强大的权限。凭借这组通常为4或6位的数字,窃贼可以访问大量数据并对账户进行彻底修改。当面容ID或触控ID失效时,密码便成为备用验证方式。

若您启用新的"失窃设备保护"功能,当iPhone离开熟悉地点(如家庭或工作场所)时,将限制部分设置变更。以下是具体说明:

iOS 17.3测试版中,苹果会提示用户启用失窃设备保护功能。图片来源:苹果公司Apple ID密码修改

• *未启用保护时:*窃贼可利用锁屏密码修改您的苹果账户密码,使您无法访问账户。这是窃贼关闭"查找我的iPhone"并抹除设备转售的关键步骤。由于机主不知道被修改后的Apple ID密码,将无法立即定位设备或远程擦除数据。

• *启用失窃设备保护后:*在非熟悉地点修改Apple ID密码时,设备将要求Face ID或Touch ID验证,随后会实施1小时的操作延迟。延迟结束后,需再次通过Face ID或Touch ID验证,方可完成密码修改。

更新苹果安全设置

• *未启用保护时:*窃贼可通过锁屏密码设置恢复密钥。该功能本是为防范网络黑客设计,但若被窃贼设置,您将无法通过手机号或邮箱重置Apple ID密码。这意味着您可能永久失去iCloud中存储的所有照片、文件等数据。

启用「设备被盗保护」后:与修改Apple ID密码类似,启用或更改恢复密钥及受信任电话号码需间隔一小时进行两次生物识别验证。(显然,窃贼无法直接使用锁屏密码立即关闭该功能——同样需要生物验证并触发安全延迟机制。)

访问钥匙串密码

若未采取防护措施: 当使用iCloud钥匙串存储银行、现金及加密货币应用密码时,窃贼可通过iPhone锁屏密码解锁钥匙串获取全部密码。我们收到多起案例反馈称,受害者账户因此被盗转数万美元。

启用「设备被盗保护」后:必须通过Face ID或Touch ID验证才能查看密码,锁屏密码不再作为生物识别失败的备用方案。

仍存在的风险

即使开启防盗保护,掌握iPhone及锁屏密码的窃贼仍可解锁手机。任何未设置额外密码/PIN保护的应用,以及支持短信/邮件重置的账户依然脆弱。若生物识别失败,Apple Pay仍可通过锁屏密码使用。因此我们建议:

切勿向陌生人透露锁屏密码。 公共场合注意遮挡输入,优先使用Face ID或Touch ID。

设置高强度字母数字混合密码。 相比六位数字密码,字母数字组合更难被窥破。前往设置>面容ID与密码>更改密码>密码选项>自定义字母数字密码。

**为现金和加密货币应用添加PIN码。**通过启用额外的PIN码或生物识别技术,为VenmoCash App增加保护。您还可以在安全设置中为CoinbaseRobinhood设置单独的密码。

**迅速行动,远程擦除设备数据。**如果从我们的报道中学到了什么,那就是手机被盗的代价可能远超设备本身价值。因此,如果小偷确实拿到了您的iPhone,请迅速行动。记住这个简单的网址:icloud.com/find。您可以在任何设备或网页浏览器上使用它登录并远程擦除丢失或被盗设备上的数据。(您应始终将手机备份到iCloud。)

当苹果发布“被盗设备保护”功能时,计划会提示用户开启。您可以在“面容ID与密码”下找到该设置。

—欲了解更多《华尔街日报》技术分析、评论、建议和头条新闻,请订阅我们的每周通讯

联系乔安娜·斯特恩,邮箱:[email protected];联系妮可·阮,邮箱:[email protected]

更正与补充本文中的一张表格指出,将Apple Cash转账至银行账户需要生物识别验证。文章早期版本在表格中错误地表示,使用Apple Cash向他人转账需要生物识别验证。(已于12月12日更正)

刊登于2023年12月13日印刷版,标题为《苹果加强安全措施以防范iPhone盗窃》。