Obszerny raport opublikowany dzisiaj przez Dziennik Wall StreetJoanna Stern i Nicole Nguyen zwracają uwagę na przypadki, w których złodzieje szpiegowali hasło iPhone’a ofiary przed kradzieżą urządzenia w celu uzyskania dostępu do urządzenia, danych i pieniędzy.
Wszystkie ofiary, z którymi przeprowadzono wywiady, powiedziały, że ich iPhone’y zostały skradzione, gdy spędzały noc w barach i innych miejscach publicznych. Niektóre ofiary twierdziły, że ich iPhone’y zostały wyrwane z ich rąk przez nieznajomych, podczas gdy inne twierdziły, że były fizycznie atakowane i zastraszane. Raport zawiera konkretne przykłady takich przypadków.
Znając hasło iPhone’a, złodziej może łatwo zresetować hasło Apple ID ofiary w aplikacji Ustawienia, nawet jeśli włączone jest Face ID lub Touch ID. Następnie złodziej może wyłączyć Find My iPhone na urządzeniu, uniemożliwiając właścicielowi urządzenia śledzenie jego lokalizacji lub zdalne wymazanie urządzenia za pośrednictwem iCloud. Złodziej może również usunąć z konta inne zaufane urządzenia Apple, aby dodatkowo zablokować ofiarę.
Złodziej może również zmienić dane kontaktowe Twojego Apple ID i skonfigurować plik klucz odzyskiwania Aby uniemożliwić ofierze odzyskanie konta.
Co gorsza, znajomość hasła iPhone’a pozwala złodziejowi korzystać z Apple Pay, wysyłać Apple Cash i uzyskiwać dostęp do aplikacji bankowych za pomocą haseł przechowywanych w pęku kluczy iCloud. Nawet jeśli w iPhonie włączony jest Face ID lub Touch ID, złodzieje mogą po prostu ominąć te metody uwierzytelniania i otrzymać opcję wprowadzenia hasła do urządzenia. W niektórych przypadkach, jak twierdzi raport, złodzieje nawet odblokowali kartę Apple, znajdując cztery ostatnie cyfry numeru ubezpieczenia społecznego ofiary na zdjęciach przechowywanych w aplikacjach takich jak Zdjęcia lub Dysk Google.
Dostęp do innych haseł przechowywanych w pęku kluczy iCloud pozwala złodziejowi siać większe spustoszenie, ponieważ może dać mu dostęp do kont e-mail i innych poufnych informacji. Ogólnie rzecz biorąc, raport mówi, że złodzieje mogą w zasadzie „ukraść całe twoje cyfrowe życie”.
Apple odpowiada
W odpowiedzi na raport rzecznik Apple powiedział: „Badacze bezpieczeństwa zgadzają się, że iPhone jest najbezpieczniejszym urządzeniem mobilnym dla konsumentów i każdego dnia niestrudzenie pracujemy, aby chronić wszystkich naszych użytkowników przed nowymi i pojawiającymi się zagrożeniami”.
Rzecznik dodał: „Współczujemy użytkownikom, którzy przeszli przez to doświadczenie i poważnie traktujemy wszystkie ataki na naszych użytkowników, bez względu na to, jak rzadkie mogą być”. „Będziemy nadal wzmacniać zabezpieczenia, aby zapewnić bezpieczeństwo kont użytkowników”. Firma Apple nie podała żadnych szczegółowych informacji na temat dalszych kroków, które może podjąć w celu zwiększenia bezpieczeństwa.
W tweecie Stern zalecił Apple dodanie dodatkowych zabezpieczeń do iOS i zaoferowanie dodatkowych opcji odzyskiwania konta Apple ID.
Jak zachować ochronę
W tweecie Stern zalecił użytkownikom przejście z czterocyfrowego kodu dostępu na kod alfanumeryczny, który byłby trudniejszy do szpiegowania przez złodziei. Można to zrobić w aplikacji Ustawienia pod Face ID i kod dostępu → Zmień kod dostępu.
Użytkownicy iPhone’a mogą również używać Face ID lub Touch ID, gdy tylko jest to możliwe w miejscach publicznych, aby uniemożliwić złodziejom szpiegowanie ich hasła. W przypadkach, gdy konieczne jest wprowadzenie kodu dostępu, użytkownicy mogą położyć rękę na ekranie, aby ukryć wprowadzenie kodu dostępu.
Aby chronić konto bankowe, rozważ przechowywanie hasła w menedżerze haseł, który nie zawiera kodu urządzenia, takiego jak 1Password.