蘋果「遭竊裝置防護」功能立意良善,但仍有致命缺陷
蘋果先前釋出了 iOS 17.3 作業系統版本,並同步推出了「遭竊裝置防護」新功能。這項功能是為了防止犯罪份子利用 iPhone 用戶的密碼更改其蘋果帳戶、密碼、竊取錢財,並將其鎖定在 iCloud 儲存的相簿與影片之外。只是這項功能仍存一個缺陷。
在使用者啟用這項防護機制後,當使用者遠離 iPhone 熟悉的位置時(像是家中或工作場所),iPhone 將會限制某些設定。由於你的手機密碼主宰了設備中許多機密,當 Face ID 或 Touch ID 失效時,這串數字就是作為備用進入手機的方式。
犯罪分子會事先記錄下這些設備的手機密碼,並在竊取後透過這些密碼來登入手機,並進一步地竄改受害者的手機密碼,隨後再進一步地登入受害者的銀行或其他具有私密性的應用程式,讓受害者的損失不僅是手機本身。
如果使用者事前先啟用了「遭竊裝置防護」功能,當 iPhone 偵測到使用者並非處於熟悉位置時,犯罪分子無論是要更改 Apple ID 密碼、蘋果安全設定,或是 iCloud 鑰匙圈中訪問密碼,都需要進行 Face ID 或 Touch ID 掃描,唯有通過生物辨識後才能更改密碼。
這項機制聽起來相當安全,但問題就在於「熟悉位置」的認定。裝置會依據使用者造訪某個地點的頻率與時間來判斷這個位置是否重要;假如使用者經常光顧特定的咖啡店或酒吧,這可能會讓裝置誤判,且如果竊賊就在這些位置附近來竄改你的設備密碼,那麼「遭竊裝置防護」功能基本上是失效的狀態。
但使用者無法自行編輯哪些地點是重要的,X 用戶 @thiojoe 指出,對於以用戶隱私與透明度而聞名的蘋果來說,無法讓用戶查看與編輯熟悉地點是很奇怪的事。
⚠️⚠️⚠️ iPhone's new Stolen Device Protection has a FATAL FLAW (but you can fix it) ⚠️⚠️⚠️
By default, the protections are nullified when at a "familiar location". The problem is you have NO CONTROL over what is "familiar". The feature apparently uses the "significant locations"… pic.twitter.com/NdWs7PoAdP
— ThioJoe (@thiojoe) January 23, 2024
(首圖來源:pixabay)
留言 1