《華爾街日報》：iPhone一項基本功能助犯罪分子竊取你的全部數字生活

紐約——感恩節週末凌晨，雷漢·阿亞斯離開曼哈頓中城一家酒吧時，剛認識的一名男子搶走了她的iPhone 13 Pro Max。

短短幾分鐘內，這位31歲的勞動力情報初創公司高級經濟學家就無法再登錄她的蘋果賬户及與之關聯的所有內容，包括照片、聯繫人和筆記。她説，接下來的24小時內，約1萬美元從她的銀行賬户中消失。

全美各地的警局正堆積着類似案件。竊賊利用一種技術含量極低的伎倆，先觀察iPhone用户輸入解鎖密碼，然後竊取目標手機——以及他們的數字人生。

[閲讀我們的指南，瞭解如何保護iPhone數據免遭竊賊盜取。]

這些竊賊正在利用全球逾10億部活躍iPhone軟件設計中的一個簡單漏洞。該漏洞的核心在於設備解鎖密碼（即允許訪問設備的數字短碼）與賬户密碼（通常作為不同賬户登錄憑證的較長字母數字組合）。

僅憑iPhone及其解鎖密碼，入侵者能在數秒內修改與機主Apple ID關聯的密碼。這將導致受害者被鎖定賬户，包括iCloud存儲的所有內容。由於解鎖密碼可開啓設備存儲的所有密碼，竊賊通常還能洗劫手機上的金融應用。

“一旦進入手機，就像打開了百寶箱，“去年秋天退休的紐約警局偵探亞歷克斯·阿吉羅説，他曾調查過一起備受矚目的連環盜竊案。

他表示，過去兩年裏這座城市已發生數百起此類犯罪。“案件數量在增長，”他説，“這是一種高度依賴機會的犯罪行為。現在人人手機裏都有金融應用。”

蘋果公司一直以數字隱私與安全領域的領導者自居，將其緊密集成的硬件、軟件和iCloud網絡服務作為保護客户數據的最佳方案。一位蘋果發言人表示：“安全研究人員一致認為iPhone是最安全的消費級移動設備，我們每天都在不懈努力，保護所有用户免受新出現的威脅。”

“我們對遭遇此事的用户深表同情，無論這類攻擊多麼罕見，我們都非常重視所有針對用户的攻擊行為，”她補充説，公司認為此類犯罪並不常見，因為實施犯罪需要同時竊取設備和密碼。“我們將持續加強防護措施，幫助確保用户賬户安全。”

對近期盜竊案的調查揭示了蘋果防護體系中可能存在的漏洞。該公司的防禦機制主要針對常見攻擊場景設計——比如網絡黑客試圖使用他人登錄憑證，或街頭竊賊搶奪iPhone意圖快速銷贓。

這些防禦未必能應對深夜酒吧裏年輕人聚集的混亂場景，捕食者在此與受害者套近乎，誘導他們泄露密碼。一旦竊賊同時掌握密碼和手機，就能利用蘋果為便利性設計的功能：允許健忘的用户通過密碼重置Apple賬户密碼。

喬治華盛頓大學計算機科學副教授亞當·阿維夫表示：“攻擊者利用肩窺或社會工程學手段只是時間問題。“他補充説，在這些情況下，依賴手機作為可信設備會失效。

盜竊過程

所有接受《華爾街日報》採訪的受害者都表示，他們的iPhone是在夜間外出社交時被盜的。有些人説手機剛被認識的人從手中搶走，另一些人表示遭到身體攻擊和恐嚇被迫交出手機和密碼，還有少數人認為被下了藥。他們次日醒來發現手機丟失，對前晚發生的事毫無記憶。

所有案例中，iPhone機主都被鎖定了蘋果賬户。隨後他們發現遭遇了數千美元的財務盜竊，包括通過Apple Pay消費、手機關聯銀行賬户被清空、以及從PayPal控股公司旗下Venmo等轉賬應用盜取資金等不同組合。

谷歌的移動操作系統Android也存在類似漏洞。但執法官員表示，由於iPhone轉售價值更高，使其成為更常見的目標。谷歌發言人表示：“我們的登錄和賬户恢復政策試圖在允許真實用户實際場景中保留賬户訪問權，與阻止惡意行為者之間取得平衡。”

2022年1月22日晚，愛荷華州海厄瓦瑟某創意公司的藝術總監里斯·湯普森在明尼阿波利斯市中心與女友飲酒時，他的iPhone 12 Pro在酒吧丟失。次日上午當他嘗試用其他設備登錄蘋果賬户時，發現賬户密碼已被修改。他表示，信用卡通過Apple Pay產生了數千美元消費，Venmo賬户也被盜取1500美元。

明尼蘇達州檢方稱，42歲的湯普森先生是一起盜竊案的受害者，該團伙通過竊取iPhone及其密碼從至少40名受害者處獲利近30萬美元。根據對據稱是該團伙成員之一的阿爾豐茲·斯塔基的逮捕令，該團伙以攜帶蘋果智能手機的酒吧顧客為目標，迅速通過這些設備訪問賬户進行洗劫，然後轉售手機。斯塔基先生已對一項敲詐勒索罪名認罪，並被判處57個月監禁。此案中另有11名嫌疑人被控敲詐勒索。

23歲的斯塔基先生有輕罪前科，他表示除非得到補償，否則不會發表評論。他的律師拒絕置評。

該案的首席調查員羅伯特·伊萊奇科中士表示，兩到三名竊賊組成的團伙會去酒吧與受害者交朋友，經常要求他們打開Snapchat或其他一些社交媒體平台。他説，在這種互動中，他們會試圖觀察受害者用密碼解鎖iPhone。他補充説，如果他們一開始沒有捕捉到密碼，可能會試圖讓受害者把手機遞給他們拍照，然後在歸還前巧妙地將其關閉。iPhone重啓後需要密碼才能解鎖。

“就像看着這個人反覆在手機上輸入密碼一樣簡單，”伊萊奇科中士説，並補充説有時竊賊會偷偷拍攝受害者，以確保他們捕捉到正確的密碼順序。“有很多技巧可以讓這個人輸入密碼。”

類似案件在奧斯汀、丹佛、波士頓和倫敦均有報道。

在紐約市，警方最初意識到這波新型犯罪浪潮的嚴重性，是通過一起死因不明的案件。

5月27日星期五，從華盛頓特區來訪的約翰·安伯格在曼哈頓外出過夜，最後去了地獄廚房附近的一家酒吧。五天後，這位美國法律與司法中心33歲的外交與政治項目總監被發現死在他暫住的公寓裏，錢包空空如也iPhone也不見了。

起初，警方懷疑這是一起普通的吸毒過量事件。但據安伯格的母親琳達·克萊裏稱，他的家人隨後發現他的銀行賬户、PayPal和Venmo賬户中有數千美元被轉走，信用卡也有可疑消費記錄。她認為兒子的蘋果賬户密碼被篡改了。

參與調查安伯格死亡案件的紐約警探阿吉羅先生（已於9月退休）表示，當局逐漸認定他是一夥專門針對紐約酒吧顧客的竊賊的受害者，這些竊賊通過應用程序洗錢並轉賣手機。他補充説，據信該團伙與超過30起案件有關。

據知情人士透露，曼哈頓地區檢察官辦公室正在整理案件材料，準備提交大陪審團審理。

作案手法

理論上，蘋果公司最新的安全創新技術本應能消除密碼被截獲的風險。蘋果發言人指出，面容ID和觸控ID功能可以完全避免手動輸入密碼的需求。

然而在紐約，部分官方機構曾建議將Face ID作為解鎖手機的可能方式。該市夜生活辦公室（市政廳與酒店業的聯絡機構）曾邀請一位演講者，其建議酒吧常客禁用面部識別功能，理由是盜賊可能利用失去意識者的面部進行解鎖。

但根據《華爾街日報》的報道和設備測試，密碼破解才是更可能發生的情況。要在iPhone上更改某人的Apple ID密碼，僅靠面部掃描是不夠的：必須輸入設備密碼。密碼修改完成後，系統會提供強制其他蘋果設備（如Mac或iPad）退出Apple賬户的選項，受害者將無法通過這些設備恢復訪問權限。該軟件從不要求用户在設置新密碼前輸入舊密碼。本報記者實測可在1分鐘內完成全部操作。

蘋果發言人表示，該設計旨在幫助忘記賬户密碼的用户，並強調需要設備實體和密碼雙重驗證。

竊賊獲得新密碼後，可關閉"查找我的iPhone"功能——該功能本可讓受害者定位手機甚至遠程抹除數據以保護隱私。關閉此功能還能讓竊賊轉售iPhone。

蘋果近期推出了使用USB硬件安全密鑰保護Apple ID的功能，但本報測試發現，僅憑設備密碼仍可修改賬户設置，甚至能用密碼移除賬户中的安全密鑰。

損失情況

紐約一家科技公司的銷售主管泰勒·阿希表示，2021年12月10日晚在紐約一家酒吧被人下藥。他完全不記得手機是如何被拿走的。他只知道，拿走手機的人進入了他的銀行應用，將他的銀行借記卡添加到Apple Pay，並以他的名義開通了Venmo信用卡和蘋果信用卡。

紐約警察局拒絕透露他們認為竊賊是如何獲取目標手機的詳細信息。

阿希先生的銀行賬户被轉走了超過1萬美元，他説他將這些賬户的密碼存儲在蘋果的iCloud鑰匙串密碼管理器中。根據《華爾街日報》的測試，該功能在成功進行Face ID或Touch ID掃描，或輸入iPhone密碼後會自動填充登錄信息。在阿希先生和其他案例中，銀行欺詐發生在受害者的生物識別信息不再對竊賊可用之後。

如果應用要求短信驗證碼作為登錄的一部分（一種稱為雙重認證的安全措施），這些短信會發送到iPhone——也就是竊賊手中的同一部手機。

在通過密碼登錄銀行應用後，《華爾街日報》能夠將數字借記卡添加到Apple Pay，而無需實體卡或其PIN碼。資金可以從借記卡轉入Apple Cash，用於轉賬或在商店進行非接觸式支付。

多名受害者表示，有人以他們的名義開通了蘋果信用卡。這些卡迅速累積了數千美元的消費。通過蘋果的Wallet應用申請蘋果卡時，會自動填充可能存儲在iPhone上的信息，如持卡人姓名、地址和生日。

蘋果信用卡申請表確實要求申請人輸入社會安全號碼的後四位數字。受害者之一大衞·維吉蘭提認為，竊賊正是從他iPhone XS Max的照片應用中獲取了這些信息。

10月23日凌晨，這位房地產數據公司30歲的產品經理在曼哈頓下東區一家披薩店手機被盜後，發現有人試圖通過Apple Pay從他的信用卡中消費1.5萬美元，並以他的名義開了一張新的蘋果信用卡。幾天後當他重新登錄蘋果賬户時，發現自己曾拍攝的敏感文件照片——護照、駕照、工資直接存款表和醫療保險文件——被收集在一個新建的相冊中。

蘋果照片、iCloud雲盤和Google雲端硬盤等應用現在都支持搜索圖片和文檔中的文字。《華爾街日報》測試發現，在蘋果照片應用中搜索"SSN”（社會安全號碼）和"TIN”（納税人識別號）時，立即顯示了一張存儲在手機上的包含社會安全信息的1099税表照片。

本報採訪的大多數受害者都已向警方報案。其中一位還向聯邦貿易委員會提交了身份盜用投訴。他們的大部分銀行和金融應用已退還了因欺詐活動造成的損失。

部分iPhone用户失竊後無法重新訪問蘋果賬户。通過鎖屏密碼，竊賊可以修改Apple ID的備用郵箱和電話號碼，並啓用名為恢復密鑰的安全功能。近期案例中，竊賊修改了蘋果賬户的聯繫信息並開啓恢復密鑰，導致忘記Apple ID密碼的受害者無法使用賬户恢復服務。

蘋果公司發言人表示，賬户恢復政策的設立是為了防止惡意行為者訪問用户賬户。

那些仍被鎖定在蘋果賬户之外的人，往往失去了無法替代的東西。

在紐約酒吧外手機被盜後，擁有普林斯頓大學經濟學研究生學位的阿亞斯女士立即嘗試登錄她的蘋果ID並使用“查找我的iPhone”功能。但那時小偷已經更改了她的密碼。經過數月多次聯繫蘋果客服，她仍無法重新進入賬户，因為小偷還啓用了恢復密鑰。

根據蘋果的政策，如果啓用了恢復密鑰而用户無法提供，公司將不允許用户重新獲得賬户訪問權限。

“我打開照片應用向上滑動，希望能看到熟悉的面孔，我父親和家人的照片——它們都不見了，”阿亞斯女士説。“被告知永久失去所有這些記憶，這非常痛苦。”

[閲讀我們的指南，瞭解如何保護你的數據免遭竊賊盜取。]

科迪莉亞·詹姆斯、麗莎·施瓦茨和內莉·吉文對本文有貢獻。

聯繫作者 喬安娜·斯特恩，郵箱 [email protected]；妮可·阮，郵箱 [email protected]

本文發表於2023年2月25日印刷版，標題為《犯罪分子利用iPhone竊取數字人生》。