許多竊賊竊取被害人的手機,並利用事先觀察到的密碼,再啟動密碼重設,原用戶不僅失財,還無法回復使用自己的帳戶。(路透)
蘋果(Apple)原本用來保全用戶Apple ID帳戶安全的密碼救援機制,卻成為黑客眼中的「快速通關」;有心人士藉此修改密碼,讓原用戶不得其門而入,接着竊取並使用設備上訪問的蘋果支付(Apple pay)及其他金融應用程式。
華爾街日報(WSJ)報導,46歲的iPhone用戶佛拉斯卡(Greg Frasca)去年10月以來便無法進入他的帳戶,但因為此帳戶中存有他八歲小女兒歷年照片,他準備從佛州飛往蘋果的加州總部,證明該帳戶為他本人所有,或支付1萬元贖金取回帳戶使用權。
佛拉斯卡曾在芝加哥的酒吧弄丟iPhone14 Pro手機,竊賊利用他的手機設備盜取他的銀行存款,並阻止他遠程追蹤失竊手機。
竊賊利用蘋果「復原密鑰」功能,在不知道舊密碼的情況下使用復原密鑰重新取得蘋果帳戶的訪問權並設置新密碼。
WSJ今年2月即報導,許多竊賊在夜裏的酒吧觀察iPhone用戶的密碼,伺機竊取被害人的手機,接着利用事先觀察到的密碼,啟動密碼重設,再榨乾受害者的手機支付與金融應用程式。
WSJ報導刊出後,數十名受害者與WSJ聯繫,目前已知九個城市發生這類竊案,包括紐約、紐奧良、芝加哥和波士頓。
許多人受害後幸運追回被盜款項,但被鎖在帳戶外的受害者面臨更大挑戰,必須經過蘋果複雜的政策與繁文縟節才可能取回他們遺失的照片、聯繫人、備忘錄、短訊及其他檔案。
蘋果2020年推出復原密鑰,利用隨機產生且有28個字符的代碼,協助用戶重置密碼或重新取得帳戶訪問權。
然而,竊賊卻藉此奪取原用戶的帳戶訪問權,而讓原用戶在沒有那組代碼的情況下難以取回帳戶;換言之,失竊的iPhone可能導致慘重的個人數字數據損失。
蘋果發言人對此表示,「我們同情經歷這種遭遇的,我們重視對用戶的所有攻擊,無論多麼罕見;我們孜孜不倦保護用戶的帳戶和數據,並研究更多保障措施對抗新威脅。」
