苹果(Apple)正在解决一个安全漏洞,该漏洞允许iPhone窃贼接管用户账户、访问保存的密码、窃取资金,并将用户的数字记忆锁在门外。
一项名为“被盗设备保护”的新iOS设置旨在防范这些攻击。它将从周二开始向beta测试者推出。
《华尔街日报》(The Wall Street Journal)报道了全国范围内一连串的盗窃案,犯罪分子利用iPhone密码闯入受害者的账户,颠覆了他们的生活。纽约、芝加哥、新奥尔良、明尼阿波利斯和其他城市的窃贼在窃取目标的设备之前,会先看着iPhone用户输入密码。
《华尔街日报》的报道首次概述了这些盗窃所造成的损失如何远远超出了手机的范围,以及一旦密码落入坏人之手,苹果的安全设置如何让受害者几乎没有办法防止受到伤害。在过去的一年里,我们听到了数百人的iphone和数字生活被盗的消息。
苹果计划在即将到来的软件更新中加入被盗设备保护功能。不过,用户必须打开新设置,而且它不会覆盖iPhone上个人和财务信息受到的所有威胁。以下是你想要它的原因,以及即使你打开它也要考虑的问题。
你的密码,即允许你访问iPhone的短串数字,具有强大的影响力。有了这个号码,通常是四到六位数,小偷就可以访问你的大量数据,并对你的账户进行全面修改。当Face ID或Touch ID失败时,密码可以作为备用。
如果你启用了新的“被盗设备保护”功能,当你不在iPhone熟悉的地方(比如你的家或办公室)时,你的iPhone会限制某些设置。以下是概要:
?如果你什么都不做:小偷可以使用密码更改你的苹果账户密码,并将你锁在门外。这一举动是小偷关闭“查找我”功能并删除手机以进行转售的关键。因为你,iPhone的主人,没有修改过的苹果ID密码,你不能立即找到你的iPhone,也不能远程清除它的数据。
?设备被盗保护:如果你想在远离熟悉地点时更改Apple ID密码,设备将需要你的Face ID或Touch ID。然后,在您执行操作之前,它将实现一个小时的延迟。一小时后,你必须再次进行面部识别或触摸识别扫描。只有这样才能修改密码。
?如果你什么都不做:小偷可以使用密码来启用所谓的恢复密钥。苹果设计这个设置是为了保护用户免受网络黑客的攻击。但如果窃贼添加了恢复密钥,你就无法用你的电话号码或电子邮件重置你的苹果ID密码。这意味着你将无法访问所有保存在icloud中的照片、文件和其他内容——可能永远无法访问。
?使用被盗设备保护:与更改Apple ID密码一样,启用或更改恢复密钥或可信电话号码需要间隔一小时进行两次生物识别扫描。(不用说,窃贼无法使用密码立即关闭“被盗设备保护”本身——这也需要同样的生物识别扫描和安全延迟。)
?如果你什么都不做:当你使用苹果的iCloud Keychain作为密码管理器来存储银行、现金和加密应用程序的密码时,小偷可以使用iPhone的密码解锁Keychain,并访问所有这些应用程序。我们听到很多人说,小偷从他们的账户中转移了数万美元。
?设备被盗保护:设备需要你的Face ID或Touch ID来访问这些密码。密码将不再作为失败的生物识别的备份。
即使开启了“被盗设备保护”功能,拥有你的iPhone和密码的小偷仍然可以解锁你的手机。任何没有额外密码或PIN码保护的应用程序都很容易受到攻击。可以通过短信或电子邮件重置的账户也是如此。如果Face ID或Touch ID失败,Apple Pay仍然可以使用密码。因此,我们提出以下建议:
不要把你的密码给陌生人。在公共场合隐藏它,并且总是尝试使用Face ID或Touch ID。
创建一个难以猜测的字母数字密码。对于小偷来说,一串字母和数字比一个六位数的密码更难窥探。进入设置>人脸ID和密码>更改密码>密码选项>自定义字母数字代码。
为现金和加密应用添加pin码。通过启用额外的PIN或生物识别功能,为Venmo和Cash应用程序添加保护。你也可以设置一个单独的密码来保护Coinbase或Robinhood的安全设置。
迅速采取行动,远程擦除您的设备。如果说我们从之前的报道中学到了什么的话,那就是手机被盗造成的损失可能远不止手机本身的成本。所以,如果小偷拿到了你的iPhone,要迅速采取行动。记住这个简单的网址:icloud.com/find。你可以在任何设备或网络浏览器上使用它登录并远程删除丢失或被盗设备上的数据。(你应该一直把手机备份到iCloud上。)
当苹果发布“被盗设备保护”功能时,它计划提示用户开启该功能。你会在Face ID & Passcode下面找到设置。
写信给乔安娜·斯特恩(joanna.stern@wsj.com)和妮可·阮(nicole.nguyen@wsj.com)
