Nicole Nguyen i Joanna Stern z The Wall Street Journal dzisiaj opublikował raport pokazujący, w jaki sposób złodzieje mogą wykorzystać opcjonalną opcję zabezpieczenia klucza odzyskiwania, aby trwale zablokować użytkownikom iPhone’a dostęp do ich konta Apple ID.
Jak dziennikarze po raz pierwszy ujawnili w lutym, coraz częściej zdarza się, że złodzieje publicznie szpiegują hasło użytkownika iPhone’a, a następnie kradzież urządzenia w celu uzyskania szerokiego dostępu do urządzenia i jego zawartości, w tym aplikacji finansowych. Wszystkie ofiary, z którymi przeprowadzono wywiady we wstępnym raporcie, powiedziały, że ich iPhone’y zostały skradzione, gdy spędzały noc w barach i innych miejscach publicznych.
Znając hasło do iPhone’a, złodziej może łatwo zresetować Apple ofiary Hasło ID w aplikacji Ustawienia, nawet jeśli włączone jest Face ID lub Touch ID. Następnie złodziej może wyłączyć funkcję Znajdź mój iPhone na urządzeniu, uniemożliwiając właścicielowi urządzenia śledzenie jego lokalizacji lub zdalne wymazanie urządzenia za pośrednictwem iCloud.
Dzisiejszy raport kładzie większy nacisk na dodatkowe krok, który mogą wykonać złodzieje: użycie skradzionego urządzenia do ustawienia lub zresetowania klucza odzyskiwania, losowo wygenerowanego 28-znakowego kodu, który jest wymagany do odzyskania dostępu do identyfikatora Apple ID po włączeniu.
„Polityka Apple praktycznie nie daje użytkownikom możliwości powrotu do ich kont bez tego klucza odzyskiwania” — stwierdza raport. Dzięki nieograniczonemu dostępowi do skradzionego iPhone’a, hasła urządzenia i hasła Apple ID złodzieje mogą kraść pieniądze za pośrednictwem Apple Pay i potencjalnie innych aplikacji bankowych, przeglądać poufne informacje, takie jak zdjęcia i e-maile, i nie tylko.
Apple witryna internetowa ostrzega, że utrata dostępu zarówno do zaufanych urządzeń, jak i klucza odzyskiwania oznacza, że „możesz zostać trwale zablokowany na swoim koncie”. Jednak w tym scenariuszu złodzieje szpiegujący hasła iPhone’a przed kradzieżą urządzeń oznaczają, że ofiary muszą tylko zgubić swoje urządzenie, aby potencjalnie zostać trwale zablokowane. Raport służy jako cenne przypomnienie o publicznej ochronie hasła do iPhone’a.
Aby uzyskać więcej informacji, przeczytaj naszą poprzednią relację.
Apple odpowiada
W oświadczeniu udostępnionym w odpowiedzi na raport Apple powiedział, że „zawsze bada dodatkowe zabezpieczenia przed pojawiającymi się zagrożeniami, takimi jak to”.
„Współczujemy osobom, które miały takie doświadczenia i przyjmujemy wszystkie ataki na naszych użytkowników bardzo poważnie, bez względu na to, jak rzadkie” – powiedział rzecznik Apple w rozmowie z The Wall Street Journal. „Każdego dnia niestrudzenie pracujemy, aby chronić konta i dane naszych użytkowników, i zawsze badamy dodatkowe zabezpieczenia przed pojawiającymi się zagrożeniami, takimi jak to”.
Jak zachować ochronę
Użytkownicy iPhone’a powinni jak najczęściej używać Face ID lub Touch ID w miejscach publicznych, aby uniemożliwić złodziejom szpiegowanie ich hasła. W sytuacjach, w których konieczne jest wprowadzenie kodu dostępu, użytkownicy mogą trzymać ręce nad ekranem, aby ukryć wprowadzanie kodu dostępu.
Raport zaleca również, aby użytkownicy przełączyli się z czterocyfrowego kodu dostępu na kod alfanumeryczny, co byłoby trudniejsze do szpiegowania przez złodziei. Można to zrobić w aplikacji Ustawienia w sekcji Identyfikator twarzy i hasło → Zmień hasło.
Aby zabezpieczyć konto bankowe, rozważ przechowywanie hasła w menedżerze haseł, który nie obejmuje hasła urządzenia, takiego jak 1Password.
Użytkownicy mogą włączyć kontrolę rodzicielską Czasu przed ekranem, aby dodatkowo zablokować swoje urządzenie, dodaje raport.
