不怕密碼外洩 iPhone新增「遭竊裝置防護」

蘋果(Apple)22日釋出iOS 17.3作業系統版本更新，新增「遭竊裝置防護」(Stolen Device Protection)設定，這層防護能在裝置失竊時，避免有心人士盜用密碼解鎖，進一步竊取重要個人資料或財務。

華爾街日報報導，蘋果此次發布軟體更新，是全美各地iPhone手機失竊事件一年來的調查回應；在這類竊盜事件中，竊賊得手iPhone後，可迅速更改被害人的iPhone密碼及其他設定，將被害人反鎖在自己的蘋果帳戶之外，接著領光銀行儲蓄、盜刷信用卡等。

一名正在明尼蘇達州監獄服刑的iPhone竊賊表示，他曾利用蘋果先前這個漏洞，竊取數百支iPhone，不法獲利數十萬元。

「遭竊裝置防護」讓竊賊更難鑽漏洞，手機密碼是當臉部辨識(Face ID)與指紋辨識(Touch ID)失敗後的另一層防護。

當竊賊取得手機密碼，便能為所欲為，包括利用密碼變更蘋果帳戶(Apple ID)，這樣原使用者便無法重新登入、停用「尋找我的iPhone」，還能存取雲端鑰匙圈(iCloud Keychain)中儲存的密碼，包括銀行和虛擬貨幣應用程式的密碼。

此外，竊賊還能啟用復原密鑰(recovery key)，利用內建的「安全性設置」永遠鎖定使用者的蘋果帳戶。若竊賊要將iPhone變現，則可利用密碼刪光裝置內容，轉售得利。

有鑑於此，使用者更新iOS 17.3之後，開啟「遭竊裝置防護」功能，當使用者離開iPhone熟悉的地點，如住家或工作場所，iPhone便會限制密碼取用權限。

換言之，若iPhone在酒吧遭竊，竊賊需要突破兩層防護才能取用密碼更改設定。這兩層防護依序為臉部與指紋生物辨識驗證(Face ID or Touch ID biometric authentication)以及安全延遲(security delay)。

臉部與指紋生物辨識驗證是指網頁取用密碼或付款時，需要透過臉部或指紋生物驗證，而輸入密碼將不再是替代方案。

安全延遲則是使用者要修改敏感設定，如更改Apple ID密碼、啟用密鑰或停用「尋找」功能等，則需額外兩步驟驗證；iPhone會先要求提供生物辨識驗證，接著倒數一小時，之後再次要求生物辨識驗證，兩次驗證都通過之後，才能更改設定。