许多窃贼窃取被害人的手机,并利用事先观察到的密码,再启动密码重设,原用户不仅失财,还无法回复使用自己的帐户。(路透)
苹果(Apple)原本用来保全用户Apple ID帐户安全的密码救援机制,却成为黑客眼中的“快速通关”;有心人士借此修改密码,让原用户不得其门而入,接着窃取并使用设备上访问的苹果支付(Apple pay)及其他金融应用程序。
华尔街日报(WSJ)报导,46岁的iPhone用户佛拉斯卡(Greg Frasca)去年10月以来便无法进入他的帐户,但因为此帐户中存有他八岁小女儿历年照片,他准备从佛州飞往苹果的加州总部,证明该帐户为他本人所有,或支付1万元赎金取回帐户使用权。
佛拉斯卡曾在芝加哥的酒吧弄丢iPhone14 Pro手机,窃贼利用他的手机设备盗取他的银行存款,并阻止他远程追踪失窃手机。
窃贼利用苹果“复原密钥”功能,在不知道旧密码的情况下使用复原密钥重新取得苹果帐户的访问权并设置新密码。
WSJ今年2月即报导,许多窃贼在夜里的酒吧观察iPhone用户的密码,伺机窃取被害人的手机,接着利用事先观察到的密码,启动密码重设,再榨干受害者的手机支付与金融应用程序。
WSJ报导刊出后,数十名受害者与WSJ联系,目前已知九个城市发生这类窃案,包括纽约、纽奥良、芝加哥和波士顿。
许多人受害后幸运追回被盗款项,但被锁在帐户外的受害者面临更大挑战,必须经过苹果复杂的政策与繁文缛节才可能取回他们遗失的照片、联系人、备忘录、短讯及其他档案。
苹果2020年推出复原密钥,利用随机产生且有28个字符的代码,协助用户重置密码或重新取得帐户访问权。
然而,窃贼却借此夺取原用户的帐户访问权,而让原用户在没有那组代码的情况下难以取回帐户;换言之,失窃的iPhone可能导致惨重的个人数字数据损失。
苹果发言人对此表示,“我们同情经历这种遭遇的,我们重视对用户的所有攻击,无论多么罕见;我们孜孜不倦保护用户的帐户和数据,并研究更多保障措施对抗新威胁。”
