蘋果iOS 17.3"失竊設備保護"更新旨在防範iPhone盜竊 - 華爾街日報

Joanna Stern and Nicole Nguyen

2023-12-13

蘋果公司正在為iPhone推出一項新的安全設置，此前《華爾街日報》報道了一種漏洞，該漏洞允許竊賊侵入受害者的設備並擾亂他們的生活。

《華爾街日報》報道了全國範圍內的一系列盜竊案，犯罪分子利用iPhone用户的密碼更改其蘋果賬户、訪問保存的密碼、竊取資金並將他們鎖在iCloud存儲的照片和視頻之外。在紐約、芝加哥、新奧爾良、明尼阿波利斯等城市，竊賊在偷走目標設備前會觀察iPhone用户輸入密碼。

正如《華爾街日報》報道所示，這些盜竊造成的損失遠超手機本身，因為蘋果的安全設置讓受害者在密碼落入他人之手後幾乎無法防止損害。過去一年，我們收到了數百人的反饋，他們的iPhone和數字生活被竊取。

旨在防範此類攻擊的新“被盜設備保護”設置正在向測試版用户發佈。

蘋果計劃在即將發佈的軟件更新中包含這一設置。不過，用户需手動啓用，且它無法覆蓋iPhone上個人和財務信息面臨的所有威脅。以下是您可能需要“被盜設備保護”的原因，以及即使啓用後仍需考慮的事項。

工作原理

您的密碼——那串用於解鎖iPhone的簡短數字組合——擁有強大的權限。憑藉這組通常為4或6位的數字，竊賊可以訪問大量數據並對賬户進行徹底修改。當面容ID或觸控ID失效時，密碼便成為備用驗證方式。

若您啓用新的"失竊設備保護"功能，當iPhone離開熟悉地點（如家庭或工作場所）時，將限制部分設置變更。以下是具體説明：

iOS 17.3測試版中，蘋果會提示用户啓用失竊設備保護功能。圖片來源：蘋果公司Apple ID密碼修改

• *未啓用保護時：*竊賊可利用鎖屏密碼修改您的蘋果賬户密碼，使您無法訪問賬户。這是竊賊關閉"查找我的iPhone"並抹除設備轉售的關鍵步驟。由於機主不知道被修改後的Apple ID密碼，將無法立即定位設備或遠程擦除數據。

• *啓用失竊設備保護後：*在非熟悉地點修改Apple ID密碼時，設備將要求Face ID或Touch ID驗證，隨後會實施1小時的操作延遲。延遲結束後，需再次通過Face ID或Touch ID驗證，方可完成密碼修改。

更新蘋果安全設置

• *未啓用保護時：*竊賊可通過鎖屏密碼設置恢復密鑰。該功能本是為防範網絡黑客設計，但若被竊賊設置，您將無法通過手機號或郵箱重置Apple ID密碼。這意味着您可能永久失去iCloud中存儲的所有照片、文件等數據。

• 啓用「設備被盜保護」後：與修改Apple ID密碼類似，啓用或更改恢復密鑰及受信任電話號碼需間隔一小時進行兩次生物識別驗證。（顯然，竊賊無法直接使用鎖屏密碼立即關閉該功能——同樣需要生物驗證並觸發安全延遲機制。）

訪問鑰匙串密碼

• 若未採取防護措施： 當使用iCloud鑰匙串存儲銀行、現金及加密貨幣應用密碼時，竊賊可通過iPhone鎖屏密碼解鎖鑰匙串獲取全部密碼。我們收到多起案例反饋稱，受害者賬户因此被盜轉數萬美元。

• 啓用「設備被盜保護」後：必須通過Face ID或Touch ID驗證才能查看密碼，鎖屏密碼不再作為生物識別失敗的備用方案。

仍存在的風險

即使開啓防盜保護，掌握iPhone及鎖屏密碼的竊賊仍可解鎖手機。任何未設置額外密碼/PIN保護的應用，以及支持短信/郵件重置的賬户依然脆弱。若生物識別失敗，Apple Pay仍可通過鎖屏密碼使用。因此我們建議：

切勿向陌生人透露鎖屏密碼。 公共場合注意遮擋輸入，優先使用Face ID或Touch ID。

設置高強度字母數字混合密碼。 相比六位數字密碼，字母數字組合更難被窺破。前往設置>面容ID與密碼>更改密碼>密碼選項>自定義字母數字密碼。

**為現金和加密貨幣應用添加PIN碼。**通過啓用額外的PIN碼或生物識別技術，為Venmo和Cash App增加保護。您還可以在安全設置中為Coinbase或Robinhood設置單獨的密碼。

**迅速行動，遠程擦除設備數據。**如果從我們的報道中學到了什麼，那就是手機被盜的代價可能遠超設備本身價值。因此，如果小偷確實拿到了您的iPhone，請迅速行動。記住這個簡單的網址：icloud.com/find。您可以在任何設備或網頁瀏覽器上使用它登錄並遠程擦除丟失或被盜設備上的數據。（您應始終將手機備份到iCloud。）

當蘋果發佈“被盜設備保護”功能時，計劃會提示用户開啓。您可以在“面容ID與密碼”下找到該設置。

—欲瞭解更多《華爾街日報》技術分析、評論、建議和頭條新聞，請訂閲我們的每週通訊。

聯繫喬安娜·斯特恩，郵箱：[email protected]；聯繫妮可·阮，郵箱：[email protected]

更正與補充本文中的一張表格指出，將Apple Cash轉賬至銀行賬户需要生物識別驗證。文章早期版本在表格中錯誤地表示，使用Apple Cash向他人轉賬需要生物識別驗證。（已於12月12日更正）

刊登於2023年12月13日印刷版，標題為《蘋果加強安全措施以防範iPhone盜竊》。