不怕密碼外洩 iPhone新增「遭竊裝置防護」
蘋果(Apple)22日釋出iOS 17.3作業系統版本更新,新增「遭竊裝置防護」(Stolen Device Protection)設定,這層防護能在裝置失竊時,避免有心人士盜用密碼解鎖,進一步竊取重要個人資料或財務。
華爾街日報報導,蘋果此次發布軟體更新,是全美各地iPhone手機失竊事件一年來的調查回應;在這類竊盜事件中,竊賊得手iPhone後,可迅速更改被害人的iPhone密碼及其他設定,將被害人反鎖在自己的蘋果帳戶之外,接著領光銀行儲蓄、盜刷信用卡等。
一名正在明尼蘇達州監獄服刑的iPhone竊賊表示,他曾利用蘋果先前這個漏洞,竊取數百支iPhone,不法獲利數十萬元。
「遭竊裝置防護」讓竊賊更難鑽漏洞,手機密碼是當臉部辨識(Face ID)與指紋辨識(Touch ID)失敗後的另一層防護。
當竊賊取得手機密碼,便能為所欲為,包括利用密碼變更蘋果帳戶(Apple ID),這樣原使用者便無法重新登入、停用「尋找我的iPhone」,還能存取雲端鑰匙圈(iCloud Keychain)中儲存的密碼,包括銀行和虛擬貨幣應用程式的密碼。
此外,竊賊還能啟用復原密鑰(recovery key),利用內建的「安全性設置」永遠鎖定使用者的蘋果帳戶。若竊賊要將iPhone變現,則可利用密碼刪光裝置內容,轉售得利。
有鑑於此,使用者更新iOS 17.3之後,開啟「遭竊裝置防護」功能,當使用者離開iPhone熟悉的地點,如住家或工作場所,iPhone便會限制密碼取用權限。
換言之,若iPhone在酒吧遭竊,竊賊需要突破兩層防護才能取用密碼更改設定。這兩層防護依序為臉部與指紋生物辨識驗證(Face ID or Touch ID biometric authentication)以及安全延遲(security delay)。
臉部與指紋生物辨識驗證是指網頁取用密碼或付款時,需要透過臉部或指紋生物驗證,而輸入密碼將不再是替代方案。
安全延遲則是使用者要修改敏感設定,如更改Apple ID密碼、啟用密鑰或停用「尋找」功能等,則需額外兩步驟驗證;iPhone會先要求提供生物辨識驗證,接著倒數一小時,之後再次要求生物辨識驗證,兩次驗證都通過之後,才能更改設定。
留言