《華爾街日報》：竊賊用來將你鎖定在蘋果賬户之外的iPhone設置

格雷格·弗拉斯卡自十月起就被鎖在自己的蘋果賬户外，為了重新進入賬户他願意嘗試任何方法。

他提出從佛羅里達州飛往蘋果加州總部當面驗證身份，或開具一萬美元支票贖回賬户。該賬户存有他小女兒們八年來的唯一照片存檔。

這一切始於竊賊在芝加哥某酒吧偷走弗拉斯卡的iPhone 14 Pro後，他們不僅想盜空其銀行賬户，還企圖阻止他遠程追蹤被盜手機。犯罪分子利用開機密碼修改了這位46歲用户的Apple ID密碼，並啓用了名為"恢復密鑰"的隱蔽安全設置，為其賬户套上了無法破解的枷鎖。

我們曾在二月報道過，竊賊常在夜間場所窺視iPhone用户輸入密碼後實施盜竊。憑藉這四到六位數字，罪犯能修改蘋果賬户密碼，並通過Apple Pay和金融應用盜刷數千美元。

報道發佈後數十名受害者聯繫《華爾街日報》，證實紐約、新奧爾良、芝加哥和波士頓等至少九個美國城市發生過類似案件。多數人能追回資金，但被竊賊用恢復密鑰鎖在蘋果系統外的用户面臨更大挑戰：需突破蘋果複雜的政策壁壘才能找回照片、聯繫人、備忘錄、信息等重要數據。

竊賊通過啓用iPhone設置中的恢復密鑰，永久鎖定失主對其蘋果賬户的訪問權限。圖片來源：華爾街日報蘋果公司於2020年推出可選恢復密鑰功能以防範網絡黑客。啓用這組28位唯一代碼的用户在重設Apple ID密碼時必須提供該密鑰。

掌握您密碼的iPhone竊賊可開啓恢復密鑰將您拒之門外。若您已啓用恢復密鑰，他們能輕鬆生成新密鑰，同樣會導致您無法訪問賬户。

蘋果的政策使用户在丟失恢復密鑰後幾乎無法找回賬户。目前，iPhone被盜可能意味着災難性的個人損失。

“我們對遭遇此情況的用户深表同情，無論發生概率多低，我們都極其重視所有針對用户的攻擊行為。”蘋果發言人表示，“我們每日不懈努力保護用户賬户與數據，並持續研究針對此類新型威脅的額外防護措施。”

一鍵鎖死賬户的開關

用户在安全設置中激活恢復密鑰後需將其妥善保存。若遺忘或丟失Apple ID密碼，可聯繫蘋果官方，公司會向賬户綁定手機號發送驗證碼，隨後要求提供恢復密鑰代碼。

如果黑客通過一種名為SIM卡劫持的手段控制了您的電話號碼，恢復密鑰將保護您，因為黑客無法提供該密鑰。正如蘋果公司在其官網上警告的那樣，丟失密鑰意味着“您可能被永久鎖定賬户”。

只要您能訪問iPhone，無需任何額外憑證即可添加或重置恢復密鑰。蘋果公司稱這是一項便利措施。然而，這也讓竊賊更容易得手。

今年8月，24歲的卡梅隆·德文在波士頓一家酒吧被盜走iPhone 13 Pro後，他表示自己與蘋果客服通話數小時，試圖找回十多年的數據。每位客服代表都告訴他同樣的話：沒有恢復密鑰，就無法訪問。德文先生表示他從未聽説過這個密鑰，更不用説設置過了。

用户與賬户恢復的博弈

“賬户恢復對行業來説是個巨大挑戰，”FIDO聯盟執行董事安德魯·希基阿爾表示。該非營利組織負責制定蘋果等公司實施的安全標準。他指出，科技公司面臨的主要問題是在用户忘記密碼、無法使用雙重認證或丟失設備時，如何驗證其身份。

優步等公司正在使用面部識別技術，將自拍與政府身份證進行匹配驗證。“並非所有人都願意接受面部掃描，”希基阿爾先生説。

在蘋果密碼重置流程中無法提供28位恢復密鑰的用户，永久失去了多年積累的珍貴數據。圖片來源：華爾街日報領英近期宣佈通過與Clear公司合作推出職場及身份驗證服務，該公司以面向航空旅客的生物特徵快速篩查技術聞名。Instagram要求部分用户上傳視頻自拍進行身份確認。Tinder用户需上傳駕照或護照完成年齡驗證。銀行則運用多重信號來保護應用登錄及交易安全。

許多受害者向蘋果提交了護照、駕照等身份證明文件以驗證賬户所有權。弗拉斯卡先生在致蘋果的信件中甚至表示願意接受DNA檢測或視網膜掃描。蘋果公司表示出於隱私考慮，系統並未存儲此類生物特徵數據。他和眾多用户對缺乏其他賬户所有權證明方式感到困惑。

其實蘋果完全可以採用其他隱私侵害性更小的替代方案來代替恢復密鑰機制。

如果有人接管了您的谷歌賬户，谷歌的密碼重置流程允許您提供恢復郵箱、電話號碼或賬户密碼，之後即使賬户被劫持者篡改信息，您仍可憑這些憑證重新獲取訪問權限。

在熟悉的Wi-Fi網絡或常用地點進行操作，也有助於證明您的真實身份。谷歌發言人建議在賬户設置中預先添加恢復電話號碼和郵箱地址，以防不測。

特瑞·艾倫的iPhone 13 Pro於八月在紐約被盜，其賬户內存儲着包括年幼侄子照片在內的珍貴影像。

經過數月與蘋果客服的通話及致信公司説明竊賊如何掌握其28位恢復密鑰後，他表示終於遇到一位採取進一步行動的客服代表。艾倫先生稱，在回答額外驗證問題後，蘋果禁用了該恢復密鑰，他隨後重置密碼並重新獲得了賬户訪問權。

艾倫先生表示自己使用了部分蘋果企業服務，這可能是其能恢復賬户的原因。蘋果公司未就艾倫個案及其他用户無法找回賬户的原因置評。

“我只是運氣好”，現年35歲的艾倫説道，他現在會將照片額外備份至其他服務。

應對措施

可通過某些方法防止竊賊利用您的設備密碼啓用恢復密鑰。若遇盜竊，請參閲我們完整的數據保護指南。以下兩項措施值得嘗試：

設置複雜密碼。 在公共場合應儘量使用面容ID，若無法使用時，請依賴包含字母和數字的字母數字密碼。設置路徑：前往"設置"＞“面容ID與密碼”＞“更改密碼”。選擇新密碼時，輕點"密碼選項"。

對自己啓用家長控制。 蘋果的屏幕使用時間功能（原用於家長限制兒童賬户）也可保護您的蘋果賬户。但需額外設置屏幕使用時間密碼（切記不要與手機解鎖密碼相同）。

在設置中進入"屏幕使用時間"，下滑設置密碼（若未設置）。隨後進入"內容與隱私限制"，開啓該功能。下滑至"允許更改"選項，點擊"賬户更改"並選擇"不允許"。

——欲獲取更多《華爾街日報》科技專欄分析、評測、建議及頭條新聞，請訂閲我們的每週通訊。

聯繫記者：Nicole Nguyen（[email protected]）與Joanna Stern（[email protected]）

本文發表於2023年4月20日印刷版，原標題為《騙子利用iPhone這一設置鎖定您的蘋果賬户》