蘋果復原密鑰功能 竟讓竊賊「快速通關」盜款

蘋果(Apple)原本用來保全用戶Apple ID帳戶安全的密碼救援機制，卻成為駭客眼中的「快速通關」；有心人士藉此修改密碼，讓原使用者不得其門而入，接著竊取並使用裝置上存取的蘋果支付(Apple pay)及其他金融應用程式。

華爾街日報(WSJ)報導，46歲的iPhone用戶佛拉斯卡(Greg Frasca)去年10月以來便無法進入他的帳戶，但因為此帳戶中存有他八歲小女兒歷年照片，他準備從佛州飛往蘋果的加州總部，證明該帳戶為他本人所有，或支付1萬元贖金取回帳戶使用權。

佛拉斯卡曾在芝加哥的酒吧弄丟iPhone 14 Pro手機，竊賊利用他的手機裝置盜取他的銀行存款，並阻止他遠端追蹤失竊手機。

竊賊利用蘋果「復原密鑰」功能，在不知道舊密碼的情況下使用復原密鑰重新取得蘋果帳戶的存取權並設置新密碼。

WSJ今年2月即報導，許多竊賊在夜裡的酒吧觀察iPhone使用者的密碼，伺機竊取被害人的手機，接著利用事先觀察到的密碼，啟動密碼重設，再榨乾受害者的手機支付與金融應用程式。

WSJ報導刊出後，數十名受害者與WSJ聯繫，目前已知九個城市發生這類竊案，包括紐約、紐奧良、芝加哥和波士頓。

許多人受害後幸運追回被盜款項，但被鎖在帳戶外的受害者面臨更大挑戰，必須經過蘋果複雜的政策與繁文縟節才可能取回他們遺失的照片、聯絡人、備忘錄、短訊及其他檔案。

蘋果2020年推出復原密鑰，利用隨機產生且有28個字元的代碼，協助用戶重置密碼或重新取得帳戶存取權。

然而，竊賊卻藉此奪取原用戶的帳戶存取權，而讓原用戶在沒有那組代碼的情況下難以取回帳戶；換言之，失竊的iPhone可能導致慘重的個人數位資料損失。

蘋果發言人對此表示，「我們同情經歷這種遭遇的，我們重視對用戶的所有攻擊，無論多麼罕見；我們孜孜不倦保護用戶的帳戶和數據，並研究更多保障措施對抗新威脅。」