Obszerny raport opublikowany dzisiaj przez Dziennik Wall StreetJoanna Stern i Nicole Nguyen zwracają uwagę na przypadki, w których złodzieje szpiegowali hasło iPhone’a ofiary przed kradzieżą urządzenia w celu uzyskania dostępu do urządzenia, danych i pieniędzy.

Wszystkie ofiary, z którymi przeprowadzono wywiady, powiedziały, że ich iPhone’y zostały skradzione, gdy spędzały noc w barach i innych miejscach publicznych. Niektóre ofiary twierdziły, że iPhone’y zostały wyrwane z ich rąk przez nieznajomych, podczas gdy inne twierdziły, że były fizycznie atakowane i zastraszane. Raport zawiera konkretne przykłady takich przypadków.

Znając hasło iPhone’a, złodziej może łatwo zresetować hasło Apple ID ofiary w aplikacji Ustawienia, nawet jeśli włączone jest Face ID lub Touch ID. Następnie złodziej może wyłączyć Find My iPhone na urządzeniu, uniemożliwiając właścicielowi urządzenia śledzenie jego lokalizacji lub zdalne wymazanie urządzenia za pośrednictwem iCloud. Złodziej może również usunąć inne zaufane urządzenia Apple z konta, aby dodatkowo zablokować ofiarę.

Złodziej może również zmienić informacje kontaktowe Apple ID i skonfigurować klucz odzyskiwania, aby uniemożliwić ofierze odzyskanie konta.

Co gorsza, znajomość hasła do iPhone’a pozwala złodziejowi korzystać z Apple Pay, wysyłać Apple Cash i uzyskiwać dostęp do aplikacji bankowych za pomocą haseł przechowywanych w pęku kluczy iCloud. Nawet jeśli w iPhonie włączony jest Face ID lub Touch ID, złodzieje mogą po prostu ominąć te metody uwierzytelniania i wyświetlana jest opcja wprowadzenia kodu urządzenia. Raport twierdzi, że w niektórych przypadkach złodzieje nawet otworzyli kartę Apple Card, znajdując cztery ostatnie cyfry numeru ubezpieczenia społecznego ofiary na zdjęciach przechowywanych w aplikacjach takich jak Zdjęcia lub Dysk Google.

Dostęp do innych haseł przechowywanych w pęku kluczy iCloud umożliwia złodziejowi dalsze sianie spustoszenia, ponieważ może dać mu dostęp do kont e-mail i innych poufnych informacji. Podsumowując, raport mówi, że złodzieje mogą zasadniczo „ukraść całe cyfrowe życie”.

Apple odpowiada

W odpowiedzi na raport rzecznik Apple powiedział: „badacze bezpieczeństwa zgadzają się, że iPhone jest najbezpieczniejszym urządzeniem mobilnym dla konsumentów i każdego dnia niestrudzenie pracujemy, aby chronić wszystkich naszych użytkowników przed nowymi i pojawiającymi się zagrożeniami”.

„Współczujemy użytkownikom, którzy mieli takie doświadczenia i bardzo poważnie traktujemy wszystkie ataki na naszych użytkowników, bez względu na to, jak rzadkie” – dodał rzecznik. „Będziemy nadal ulepszać zabezpieczenia, aby zapewnić bezpieczeństwo kont użytkowników”. Firma Apple nie podała żadnych szczegółowych informacji na temat dalszych kroków, które może podjąć w celu zwiększenia bezpieczeństwa.

W tweecie Stern zalecił Apple dodanie dodatkowych zabezpieczeń do iOS i wprowadzenie dodatkowych opcji odzyskiwania konta Apple ID.

Jak zachować ochronę

W tweecie Stern zalecił użytkownikom przejście z czterocyfrowego kodu dostępu na kod alfanumeryczny, który byłby trudniejszy do szpiegowania przez złodziei. Można to zrobić w aplikacji Ustawienia pod Face ID i kod dostępu → Zmień kod dostępu.

Użytkownicy iPhone’a mogą również używać Face ID lub Touch ID w miejscach publicznych, aby uniemożliwić złodziejom szpiegowanie ich hasła. W sytuacjach, w których konieczne jest wprowadzenie hasła, użytkownicy mogą trzymać ręce nad ekranem, aby ukryć wprowadzanie hasła.

Aby chronić konto bankowe, rozważ przechowywanie hasła w menedżerze haseł, który nie zawiera kodu urządzenia, takiego jak 1Password.