《华尔街日报》(Wall Street Journal)报导,iPhone一项可用于回复密码的功能,反而可让黑客封锁用户,使其永远无法再访问iCloud上的照片或文件。
报导引述多位受害者现身说法,他们的iPhone在被窃或被抢走后,被黑客产生复原密钥功能修改掉Apple ID密码及切断存取管道,使失主无法再访问iCloud,以及储存的照片或文件。
根据苹果网页,恢复密钥是一组随机产生的28字符密码,可在用户忘记Apple ID密码时发挥救援。 用户需结合恢复密钥、iPhone及信任的电话号码来(即双因素验证)重设Apple ID密码。 另一个方式是输入iPhone本身的passcode来重设Apple ID密码。
当黑客取得用户iPhone后,只要知道iPhone passcode,即可产生恢复密钥,借此访问iCloud。 进入iCloud后,骇客即可关闭Find My功能以免于被追踪,或是变更链接iCloud帐户的装置,包括受害用户的iPhone或是其他苹果装置,以防止受害者从其他设备来取得存取权。 此后,一旦黑客可全权访问受害者iCloud账户,即可为所欲为,包括窃取Apple Pay或其他银行账户(如果有联结)中的密钥、窃取或读取iPhone用户相片、电子邮件,要删光也可以。
苹果警告,若受信任装置及恢复密钥两者都无法取得,用户可能永远无法存取其iCloud账户。 只要黑客得知iPhone的passcode,就可以轻易变更用户的存取凭证,即使手机开启Face ID或Touch ID也挡不住,导致受害用户再也无法存取其照片、电子邮件或文件。
报导指出,苹果政策下,用户没有复原密钥几乎不可能重新取得iCloud帐号权限,受害者也抱怨苹果不愿单方面帮他们重设恢复密钥。
报道引述苹果方面的回应。 该公司说对这些用户的遭遇表达同情,苹果一直在研究防止此类威胁的防护方法。
目前能防止被人篡夺个人记忆及个资的方法,是避免被陌生人看到iPhone passcode,例如改使用Face ID或Touch ID验证登入iPhone。 此外,使用英文字母及数字混合的passcode,也会比单纯4位数passcode更不容易被第三人从旁读取。 这可以从「设置」App 中的「Face ID & Passcode」>「变更Passcode」变更passcode组合。
