《華爾街日報》的喬安娜·斯特恩 (Joanna Stern) 和妮可·阮 (Nicole Nguyen) 發表了 一篇文章(付費)和隨附視頻描述了個人和警察部門報告的一系列針對 iPhone 用戶的令人不安的攻擊,這些攻擊在美國每年可能涉及成百上千的受害者。
觀看視頻,但簡而言之, 一個 ne’er-dowell 讓酒吧里的某人在他們偷偷觀察時輸入他們的 iPhone 密碼(或者合作夥伴為他們做)。然後小偷偷走了 iPhone 並飛奔而去。幾分鐘之內,小偷就使用密碼訪問了 iPhone 並更改了 Apple ID 密碼,這使他們能夠禁用“查找”、使用 Apple Pay 進行購買、訪問存儲在 iCloud Keychain 中的密碼,以及掃描照片以尋找包含社會安全號碼或其他可用於身份盜竊的詳細信息的文件圖片。之後,他們可以從銀行賬戶轉賬、申請 Apple Card 等,而用戶完全無法訪問他們的賬戶。
是的,他們也會擦除並轉售 iPhone。 Android 用戶幾乎沒有報告過此類犯罪,一名警官推測這是因為 Android 手機的轉售價值較低。在視頻中,喬安娜·斯特恩 (Joanna Stern) 表示,擁有 Android 手機密碼的小偷可以進行類似的身份盜竊和財務盜竊。
《華爾街日報》的文章詳細介紹了三種攻擊方式,其中只有一種是明確的可以避免的。我在上面描述的文章中非常強調的那個。但 Stern 和 Nguyen 還與被吸毒的受害者交談——一個可悲的普遍問題——並採訪了其他遭受暴力的人以揭示他們的代碼。在任何情況下,受害者都沒有做錯任何事,任何經常光顧城市地區酒吧或類似場所的人都應該小心。
鑑於《華爾街日報》的高調報導,我完全希望 Apple 能夠解決此漏洞在 iOS 17 中,如果不是之前的話。顯而易見的解決方案是要求用戶輸入當前的 Apple ID 密碼,然後才能在“設置”>“您的姓名”>“密碼和安全”>“更改密碼”中更改密碼。這不會阻止對 iCloud Keychain 的訪問,但至少可以讓用戶擦除 iPhone。
Apple 過去可能沒有提示輸入當前的 Apple ID 密碼,因為密碼被認為是安全的第二個因素——你有 iPhone,而且你知道密碼。相比之下,當您登錄 Apple ID 站點管理您的帳戶時,您必須提供您當前的密碼,通過雙因素身份驗證,然後再次輸入當前密碼進行更改。這似乎是一個很容易做出的改變,至少在 Apple 有機會考慮其他選擇之前是這樣。
我們最接近的額外密碼步驟是 屏幕時間密碼。如果您啟用“屏幕使用時間”,設置一個單獨的四位數屏幕使用時間密碼,打開“內容和隱私限制”,然後選擇“帳戶更改”>“不允許”,沒有該密碼,任何人都無法更改您的 Apple ID 密碼。不幸的是,它甚至會阻止您進入設置 > 您的名字,而無需先進入設置 > 屏幕時間 > 內容和隱私限制 > 帳戶更改 > #### > 允許。大多數人不會忍受這樣的減速帶。
Stern 和 Nguyen 指出的另一個缺陷是 Apple 的新硬件安全密鑰選項(如果啟用)並不總是如果用戶有設備密碼,則在進行更改時提示輸入硬件密鑰(請參閱“Apple Releases iOS 16.3, iPadOS 16.3, and macOS 13.2 Ventura with Hardware Security Key Support”,2023 年 1 月 23 日)。安全密鑰保護也可以完全移除,而無需使用其中一個硬件密鑰。 Apple 應該重新評估這種高安全性選項(儘管只有一小部分用戶會使用)如何履行其承諾。
如何保護自己
你可能認為你永遠不會成為手錶搶劫盜竊、在酒吧或約會時被下藥或暴力犯罪的受害者。但密碼被盜可能發生在其他情況下。而且它的後果如此嚴重,正如《華爾街日報》記者所指出的那樣,即使你不是酒鬼,也不是生活在暴力財產盜竊高發區,我想每個人都應該盤點一下這些方法來阻止惡意使用他們的密碼:
在公共場合注意 iPhone 的物理安全。這些攻擊需要您的密碼和 iPhone 的實際所有權。我們中的許多人已經厭倦了在公共場合展示我們的 iPhone,因為我們經常使用它們,而且其他人也都有智能手機。 Apple 還很好地傳達了 iPhone 對小偷無用的信息,因為密碼保護了它的內容,激活鎖確保它不能原封不動地轉售——這可能讓我們不太關心它的安全性,即使有更換它的麻煩和費用。沒有什麼好的方法可以防止小偷在您使用 iPhone 時從您手中奪走它,但是如果您可以在不使用時將它放在口袋或錢包中,而不是拿著它或將它放在桌子上在你面前,這會減少小偷瞄准你的機會。始終在公共場合使用 Face ID 或 Touch ID。這些攻擊的關鍵是獲取用戶的密碼;做到這一點的簡單方法是觀察或記錄您的輸入。如果您完全依賴 Face ID 或 Touch ID,尤其是在公共場合,沒有人可以在您不知情的情況下竊取您的密碼。 (警方認為那些在喝酒時被下藥的人的臉或手指被使用過,但這並沒有透露他們的密碼。)如果你一直基於對生物特徵信息安全性的誤導而避免使用 Face ID 或 Touch ID,我懇求你使用它。您的指紋或面部信息僅存儲在Secure Enclave 中的設備,這比幾乎在所有情況下都比密碼輸入安全。如果您是 Face ID 或 Touch ID 效果不佳的少數人之一,請向可能正在觀看的任何人隱藏您的密碼,就像您在 ATM 上輸入 PIN 碼一樣。考慮更強的密碼:默認情況下,iPhone 密碼是六位數字。您可以降級到四位數字,這是一個壞主意,但您也可以升級到更長的字母數字密碼。在視頻中,喬安娜·斯特恩 (Joanna Stern) 建議這樣做,這可能會讓某人更難偷偷觀察,但我不相信增加的安全性值得付出額外的努力。有人仍然可以記錄你輸入的字母數字密碼,輸入的時間越長越難,輸入的時間就越長,你就會越專注於正確輸入密碼,從而減少對周圍環境的了解。 (有趣的是,如果你設置一個只有數字的字母數字密碼,你仍然會得到一個數字鍵盤來輸入它,而如果你添加非數字字符,你必須使用完整的鍵盤。)不過,我不能推薦大多數人超越標準的六位數密碼。只要確保它不是很容易觀察或猜測的東西,例如 111111 或 123456。
切勿將您的密碼分享給可信任的家庭成員。如果您不想讓某人完全訪問您的銀行帳戶,請不要給他們您的密碼。如果極端情況需要您暫時信任該圈子之外的人,請將密碼更改為他們會記住的簡單密碼——甚至是 123456——並在他們歸還你的 iPhone 後立即將其更改回來。使用第三方密碼管理器而不是 iCloud 鑰匙串。推薦這個選項讓我很痛苦,因為 Apple 通過設置 > 密碼和系統設置/首選項 > 密碼不斷改進 iCloud 鑰匙串的界面。但是,在操作系統使用比密碼更多的方式保護對 iCloud Keychain 密碼的訪問之前,依賴 iCloud Keychain 是不夠安全的。相比之下,第三方密碼管理器使用單獨的密碼保護您的密碼。即使他們支持並且您啟用了生物識別解鎖,回退是密碼管理器的帳戶密碼,而不是設備密碼。
刪除包含 SSN 或其他身份號碼的照片。為您的社會保障卡、駕照或護照拍張照片作為備份是很常見的,以防萬一您丟失了真實的東西。這不是一個壞主意,但將此類圖像存儲在照片中會使它們容易受到這些攻擊。相反,將它們存儲在您的密碼管理器中。在 SSN、TIN、EIN、駕照和護照上的照片中搜索,連同您的實際社會安全號碼和其他身份證號碼。還可以搜索 Visa、MasterCard、Discover、American Express 以及您可能拍照作為備份的任何其他信用卡的名稱。 (在 macOS 13 Ventura 和 iOS 16 中可以在照片中搜索文本。對於較舊的操作系統版本,請嘗試照片搜索;請參閱“使用 TextSniper 和照片搜索處理圖像中的文本,”2021 年 8 月 23 日。)
我的回應
我把時間花在了嘴上。儘管我遭受這些攻擊的風險非常低,這些攻擊主要針對大城市的酒吧常客和街頭犯罪頻繁地區的人們,但我已採取措施減少暴露風險。
首先,我已經盡可能地依賴 Face ID,如果 Face ID 失敗並且我被迫輸入我的秘密數字,我會更加清楚誰在輸入我的密碼時正在觀看。當我在公共場合不使用 iPhone 時,我已經有點不好意思把它拿出來了,我可能會比以前更多地把它放在口袋裡。
其次,我決定清除所有 iCloud 鑰匙串存儲的密碼。在我的 MacBook Air 上,我轉到“系統設置”>“密碼”,選擇所有密碼,然後按“刪除”。 (您也可以在 Safari 的密碼設置窗格中執行此操作。)因為我從未認真使用過 iCloud 鑰匙串,所以這並不困難——其中的一切基本上都是隨機的。直到最近,我還在使用 LastPass,但在 LastPass 遭到破壞後,我切換到 1Password 並導入了我所有的 LastPass 密碼(參見“LastPass 分享安全漏洞的詳細信息”,2022 年 12 月 24 日)。多年來,我在 1Password 中存儲了很多來自各種導入和測試的密碼,以及我與 Tonya 和 Tristan 共享的保險庫。現在每當我使用密碼時,我都會花幾分鐘時間清理重複項和相關的雜物,比如自動生成的剩餘密碼。
我知道那些依賴 iCloud 鑰匙串的人不會願意刪除他們的密碼,但是我可以說我發現從 LastPass 切換到 1Password 很簡單,而且 1Password 提供導出 iCloud 鑰匙串密碼和導入 1Password 的說明。在從 iCloud Keychain 中刪除所有內容之前,執行導出/導入操作並使用 1Password(或您選擇的任何密碼管理器)一兩週以確保它對您有效。如果您決定在未來返回到 iCloud 鑰匙串,這也是可能的。
第三,我在我的照片庫中直觀瀏覽並使用文本搜索身份證等,導出一些導入 1Password,然後刪除所有內容。 (請記住,照片會在“最近刪除”相冊中存儲已刪除的圖像大約 30 天,然後才會永久刪除它們。要立即刪除它們,請選擇該相冊中的照片並點擊“刪除”。)我找到了我的駕照、護照、信用卡、保險卡,以及我錢包裡的其他卡片。如果有多個結果,請確保在執行照片搜索後單擊“查看全部”。我什至在卡片上搜索並滾動瀏覽了 500 多張照片,找到了一些逃過其他搜索的照片。 (誰知道我拍了這麼多包含紙板的照片?)
我曾短暫地考慮過將這些敏感圖像移動到“照片”中的“隱藏”相冊,並使用新的 iOS 16/Ventura 選項通過 Face ID 或 Touch 保護該相冊ID。不幸的是,當我在我的 iPhone 上測試多次 Face ID 失敗時,我最終被提示輸入我的密碼,這顯示了隱藏的相冊。這是密碼如何成為你王國的鑰匙的另一個例子。
雖然任何特定的人成為這種攻擊的犧牲品的可能性微乎其微,而且我實際上並不為自己擔心, 《華爾街日報》的報導讓我思考並清理了我更廣泛的安全假設和行為。我很感激你的推動,我鼓勵你也反思一下你的安全狀況。