一项iPhone基本功能,帮窃贼偷走你的整个数字生活

只要知晓手机的锁屏密码,窃贼便可能得到你的钱和数据;“它就如同一个百宝箱”。

iPhone密码缺陷:窃贼如何在几分钟内接管你手机里的一切

YOU MAY ALSO LIKE

iPhone密码缺陷:窃贼如何在几分钟内接管你手机里的一切

iPhone密码缺陷:窃贼如何在几分钟内接管你手机里的一切Play video: iPhone密码缺陷:窃贼如何在几分钟内接管你手机里的一切

你可能不知道,窃贼一旦知晓你iPhone的锁屏密码并拿走你的手机,他们就能在几分钟内改掉你的Apple ID密码,掏空你的银行账户,从你的相册中搜出包含敏感信息的照片,甚至,让你丢掉你存储在iCloud里的一切……而这样的犯罪正在全美各地发生。窃贼是如何做到这一点的?你又该如何保护自己免于成为这种犯罪的受害者?《华尔街日报》的Joanna Stern通过调查找到了上述问题的答案。封面图片制作:Elena Scotti, Kenny Wassus

Joanna Stern /

Nicole Nguyen

2023年3月3日20:05 CST 更新

保存文章

分享

文字大小

WSJ members: Sharing with this button will unlock this content for recipients.GOT IT

感恩节周末的凌晨,正当瑞恩·阿亚斯(Reyhan Ayas)离开曼哈顿中城的一家酒吧时,一名她刚刚认识的男子偷走了她的iPhone 13 Pro Max。

仅仅过了几分钟,阿亚斯就无法进入自己的苹果(Apple)账户了,账户里的所有内容,包括照片、联系人和笔记,全都无法访问了。随后的24小时里,她说,她的银行账户里大约少了1万美元。阿亚斯今年31岁,是一家劳动力分析类初创企业的高级经济学家。

眼下,类似案件在全美警局层出不穷。窃贼用了一种技术含量极低的手段,先是偷窥iPhone用户输入锁屏密码,然后偷走“猎物”的手机——以及他们的数字生活。

目前全球处于使用状态的iPhone数量已超10亿部,而窃贼利用的是iPhone软件设计中一个简单的隐患。主要的问题在于锁屏密码和账户密码,前者是一短串数字,用于访问某台设备,后者则通常是一串较长的数字与字母组合,用于登录不同账户。

只要有iPhone和锁屏密码,入侵者就可以在几秒钟内修改手机主人Apple ID的账户密码。如此一来,受害者便无法登录他们的账户,包括iCloud上存储的所有内容,他们都无法看到。手机上的金融类应用程序通常也会沦为窃贼的猎物,因为只要知晓了锁屏密码,就能解锁设备上存储的所有账户密码。

“一旦进到手机里面,它就如同一个百宝箱。”亚力克斯·阿基罗(Alex Argiro)说,去年秋天退休前,他曾以纽约市警局侦探的身份调查过一个备受关注的盗窃团伙。

他说,过去两年间,纽约市发生了数百起这种类型的犯罪。“数量越来越多。”他说,“这是一种看到机会便会去实施的犯罪。每个人手机上都有金融类应用程序。”

苹果公司自称数字隐私和安全领域的领导者,并宣扬其高度一体化的硬件、软件及iCloud网络服务是对用户数据的最佳保护。“安全领域的研究人员一致认为,iPhone是安全系数最高的消费类移动设备,并且我们每天都在不辞辛劳地工作,以便在新的以及正在出现的威胁面前,为我们所有用户筑起盾牌。”一位苹果发言人说。

“对于有这种遭遇的用户,我们表示同情;对于用户受到的所有攻击,我们都十分重视,不管这种攻击多么罕见。”她说,苹果相信这些犯罪并不常见,因为它们需要窃贼同时获得设备和锁屏密码。“我们将继续提升防护力度,帮助确保用户账户安全。”

然而,对最近一连串盗窃事件的研究却暴露出苹果“盾牌”中可能存在的一个漏洞。苹果的防御系统是围绕常见的攻击场景来设计的——网络黑客试图盗用一个人的登录信息,或是街上的窃贼企图偷走iPhone后迅速卖掉。

这些场景不一定适用于某一天的深夜酒吧——酒吧里挤满了年轻人,掠食者先是假装同“猎物”交友,而后诱使他们泄露锁屏密码。窃贼一旦拿到了锁屏密码和手机,就能利用苹果原本为方便用户而引入的一项功能:健忘的用户可以利用锁屏密码来重置苹果账户的密码。

“入侵者利用肩窥(shoulder surfing,译者注:从别人背后偷看银行卡密码以盗取其账户存款的行为)或是社交工程(social engineering)的手段只是时间问题。”乔治华盛顿大学(George Washington University)计算机科学副教授亚当·阿维夫(Adam Aviv)说。他还谈到,这种情况下,将手机视为一种可靠设备而对其加以依赖,是行不通的。

下手

所有接受《华尔街日报》(The Wall Street Journal)采访的受害者均表示,他们是在晚上外出社交时被偷走iPhone的。有些人说,他们的手机是被刚刚认识的人偷走的;另一些人说,他们遭到了人身攻击和恐吓,被迫交出了手机和锁屏密码;还有少数人说,他们觉得自己被下药了。他们第二天早上醒来时才发现手机不见了,而且已经不记得前一晚发生的事。

所有这些案件中,iPhone主人都无法登录自己的苹果账户。接着,他们发现了数千美元的金融盗窃事件,包括Apple Pay被盗用、手机应用程序绑定的银行账户被用光,以及PayPal Holdings Inc.旗下Venmo及其他转账类应用程序里的钱被取走,而且这几种情况会同时出现。

谷歌(Google)的移动操作系统安卓(Android)也存在类似隐患。但据执法人员说,iPhone的转售价值更高,这使得它们更容易沦为不法分子的目标。“我们的登录与账户恢复政策试图在两件事之间达到平衡,一方面,允许合法用户在现实场景中保留对其账户的访问权,另一方面,也不要给坏人可乘之机。”一位谷歌发言人说。

瑞斯·汤普森(Reece Thompson)是爱荷华州海华沙(Hiawatha)一家创意机构的艺术总监,2022年1月22日晚,他在明尼阿波利斯(Minneapolis)市中心停留期间曾与女友去酒吧喝酒,后来他的iPhone 12 Pro在酒吧不翼而飞。次日早晨,他试图从另一台设备上登录自己的苹果账户,却发现账户密码已被更改。他说,他的信用卡被人通过Apple Pay盗刷了几千美元,他的Venmo账户也被盗了1,500美元。

瑞斯·汤普森在明尼阿波利斯停留期间,他的iPhone 12 Pro在酒吧被盗,而后,窃贼通过Apple Pay盗用了数千美元。

图片来源:KC MCGINNIS FOR THE WALL STREET JOURNAL

明尼苏达州检方称,42岁的汤普森是一个盗窃团伙的受害者,该团伙通过盗取至少40人的iPhone及锁屏密码,累计获得赃款近30万美元。对该团伙成员阿方兹·斯塔基(Alfonze Stuckey)的逮捕令显示,这群人先是锁定酒吧里用iPhone的人,得手后,便迅速洗劫可通过这些设备访问的账户,然后再将手机卖掉。斯塔基后来承认犯有诈骗罪,并被判处57个月监禁。此案中另有11名嫌疑人也受到了诈骗指控。

23岁的斯塔基有轻罪前科,他说,除非获得补偿,否则他不会置评。斯塔基的律师拒绝置评。

据该案件首席调查员罗伯特·伊利申科(Robert Illetschko)警司介绍,团伙中先是会有两三名窃贼去酒吧同受害人交友,他们常常会让后者打开Snapchat或是其他社交媒体平台。他说,你来我往中,他们会偷看受害人如何用锁屏密码解锁iPhone。要是一开始没有看清锁屏密码,他们可能会让受害者把手机递给他们拍一下照,然后在还回手机前,悄悄把手机关机,伊利申科补充说。iPhone重启后,需要再次输入锁屏密码才能解锁。

“这就像看着这个人不断在手机上输入密码一样简单,”伊利申科说,有时窃贼还会偷拍受害者,以确保数字顺序无误。“想让人输入锁屏密码,手段有很多。”

奥斯汀、丹佛、波士顿和伦敦也报告了类似案件。

在纽约市,对于这波新的犯罪潮已经发展到何种程度,警方最初获得的初步线索之一是来自一起不明原因的死亡事件。

去年5月27日星期五,来自华盛顿特区的约翰·翁博格(John Umberger)正在曼哈顿,他晚上出了趟门,当晚他去的最后一个地方是地狱厨房(Hell’s Kitchen)一带的一家酒吧。五天后,33岁的翁博格被发现死在了他住的公寓里,当时他的钱包空空如也,iPhone也不见了踪影。翁博格生前是美国法律与司法中心(American Center for Law and Justice)的外交及政治项目主管。

起初,警方怀疑这是一起普通的吸毒过量事件。据翁博格的母亲琳达·克拉里(Linda Clary)说,后来家人发现,他的银行账户、PayPal以及Venmo账户被转走了数千美元,信用卡也出现了可疑的消费记录。她觉得,儿子的苹果账户被人改了密码。

纽约市警探阿基罗去年9月退休前,曾参与调查翁博格死亡案,他说,警方后来认为翁博格是一个盗窃团伙的受害者,这群人以纽约酒吧里的客人为目标,他们通过应用程序来洗钱,然后把手机卖掉。据信这伙人对30多起事件都负有责任,阿基罗补充说。

据熟悉此次调查的人说,曼哈顿地区检察官办公室正在整理案件,准备提交给大陪审团。

原理

从理论上说,苹果最近在安全领域的创新应该能消除锁屏密码被盗的隐患。上述苹果发言人指出,有了Face ID和Touch ID,完全不用再输入锁屏密码。

但在纽约,一些权威人士指出,Face ID有可能被用作侵入手机的切入口。在市政部门与酒店服务业之间扮演沟通角色的纽约市夜生活办公室(Office of Nightlife)曾邀请过一位主讲人,此人建议人们去酒吧时禁用面部识别功能,因为从理论上说,丧失活动能力的人,其面部可能会被窃贼利用。

根据《华尔街日报》的报道以及现场测试,更可能出现的情况是锁屏密码被破解。要在iPhone上更改Apple ID的账户密码,仅靠面部扫描是不够的,还需要输入锁屏密码。账户密码修改完成后,软件会提供一个选项,可以强制Mac、iPad等其他苹果设备退出当前的苹果账户,如此一来,受害者就无法通过这些设备重新进入自己的账户。该软件从不要求用户在设置新的账户密码之前输入旧密码。《华尔街日报》的记者完成这一切,只用了不到一分钟。

一位苹果发言人说,如此设计系统是为了帮助那些忘掉账户密码的用户。她还说,这需要两个因素同时具备:iPhone本身以及锁屏密码。

设置新的账户密码后,窃贼就能禁用“查找我的iPhone”功能,该功能在开启状态下可以让受害者获得手机定位,甚至还能远程删除手机上的数据以保护隐私。此外,禁用该功能也为窃贼转手卖掉iPhone提供了便利。

苹果最近推出了使用硬件安全密钥——小型USB加密狗——来保护Apple ID的功能。在《华尔街日报》的测试中,尽管使用了安全密钥,但依然可以仅凭锁屏密码就修改账户密码,甚至还可以通过锁屏密码将安全密钥从账户中移除。

损失

泰勒·艾希(Taylor Ashy)是一家纽约科技公司的一名销售主管,他说2021年12月10那晚,他在纽约的一家酒吧里被人下药了。他已经不记得自己的手机是如何被人拿走的。他只知道,拿走他手机的人进入了他的银行应用程序,并在Apple Pay里绑定了他的银行借记卡,还以他的名义办了一张Venmo信用卡和苹果信用卡。

泰勒·艾希说,他在纽约市的一家酒吧被人下了药,后来窃贼偷走了他的iPhone 11。醒来后他发现,有人通过他的银行及转账类应用程序,转走了数千美元。

图片来源:MICHAEL BUCHER/THE WALL STREET JOURNAL

尽管纽约市警局认为窃贼侵入了受害者的手机,但至于警方是如何得出这一结论的,他们拒绝提供细节。

艾希的银行账户里被转走了1万多美元,他说,他把这些账户的密码存在苹果的密码管理工具iCloud钥匙串(Keychain)里。根据《华尔街日报》的测试,启用iCloud钥匙串后,只要能通过Face ID或Touch ID的识别,或者输入iPhone的锁屏密码,它就会自动填入登录信息。在艾希等人的案件中,银行欺诈事件均发生在窃贼已无法获得受害者的生物识别信息之后。

如果应用程序还需要用户在登录时输入短信验证码(这种安全操作被称为双重认证),短信则会发到iPhone上——而这部手机正在窃贼手中。

通过锁屏密码进入银行类应用程序后,《华尔街日报》可以在无需实体卡或PIN码的情况下,在Apple Pay中添加数字借记卡。借记卡里的钱可以转到Apple Cash里,后者也可以用来转账,或是在商店里进行非接触式支付。

几名受害者说,有人以他们的名义开了一张苹果信用卡。这些卡很快产生了数千美元的消费。如果打开Apple Wallet,申请苹果信用卡时就会自动填入可能已储存在iPhone上的个人信息,如用户姓名、住址及生日。

申请苹果信用卡时,的确需要申请人输入其社会安全号码的后四位数字。受害者大卫·维吉兰特(David Vigilante)认为,窃贼应该是在他iPhone XS Max的相册里找到了这一信息。

30岁的维吉兰特是一家房产数据公司的产品经理,去年10月23日凌晨,他的手机在曼哈顿下东区的一家披萨店被盗。之后他发现,有人试图通过Apple Pay在他的信用卡上扣款1.5万美元,还有人以他的名义开了一张新的苹果信用卡。几天后他再次进入自己的苹果账户时,发现自己之前拍摄的敏感文件照片——他的护照、驾照、将工资直接汇入银行账户的入账单以及医疗保险文件——被存在了一个新相册里。

苹果相册、iCloud Drive和Google Drive等应用程序如今都有在图像和文档中搜索文本的功能。在《华尔街日报》的测试中,在苹果相册中搜索SSN(社会安全号码)和TIN(纳税人识别号码),马上就会出现一张1099税表的照片,上面有手机中已储存的社会安全信息。

《华尔街日报》采访的大部分受害者都选择了报警。其中一人还向美国联邦贸易委员会(Federal Trade Commission)报告了身份被盗。大多数涉事银行和金融类应用程序都退还了被认为是因欺诈活动而损失的资金。

瑞恩·阿亚斯的iPhone 13 Pro Max在曼哈顿一家酒吧外被盗后,她损失了约1万美元,并且无法再登录自己的苹果账户。

图片来源:NUVANY DAVID FOR THE WALL STREET JOURNAL

一些iPhone被盗的人无法重新登入他们的苹果账户了。在知晓锁屏密码的情况下,窃贼可以修改Apple ID的备用邮箱和备用手机号,还可以启用名为“恢复密钥”的安全功能。最近的一些案件中,窃贼就更改了苹果账户的联系人信息,并开启了“恢复密钥”功能,令受害人无法使用原本为忘记Apple ID密码的人提供的账户恢复服务。

苹果发言人表示,制定账户恢复政策是为了防止不良分子登入用户的账户。

那些仍旧无法登录苹果账户的人,往往会失去一些无可替代的东西。

阿亚斯的iPhone在纽约酒吧外被盗后不久,拥有普林斯顿大学(Princeton University)经济学硕士学位的她试图登录自己的Apple ID,想要启用“查找我的iPhone”功能。但那时,窃贼已经更改了她的账户密码。几个月后,尽管她给苹果客服打了无数次电话,但依然无法找回自己的账户,原因是窃贼还启用了“恢复密钥”功能。

根据苹果的政策,如果启用了“恢复密钥”,且用户无法提供这串密钥,苹果将不允许用户重新获得其账户的访问权限。

“我进到相册里,向上滑动屏幕,希望能看到那些熟悉的面孔,看到我爸爸和家人的照片——它们全都不见了。”阿亚斯说,“我被宣判已经失去了所有这些回忆,这种感觉很难受。”

(若想了解如何保护自己的iPhone数据不被窃取,请阅读我们的防盗指南(英文)

2 个赞

可怕…沒錯,黑客就是做惡的小偷……

1 个赞