凤凰网科技讯 北京时间12月20日,上周,苹果公司推出了“被盗设备保护”功能,以封堵一个安全漏洞,防止窃贼仅凭手机密码就接管用户账户,窃取资金。苹果的这个安全漏洞到底存在多大隐患,下面来听听一位被判入狱近8年的iPhone小偷的自述。
亚伦约翰逊(Aaron Johnson)今年26岁,此前曾有抢劫和盗窃前科。今年3月,他承认犯有敲诈勒索罪,被判处94个月监禁。约翰逊对法官说,他对自己的所作所为感到抱歉。
他决定在戒备森严的监狱里接受采访,公开自己的偷盗经历,为其他人敲醒警钟,并帮助其他人。“我已经在服刑了。我只是觉得我应该改过自新,设法帮助人们。”约翰逊表示。
约翰逊一开始只是偷手机,但是很快他就意识到,如果能够解锁被盗手机,那么他就能获得更多的钱。约翰逊说,没有人教他有关密码的技巧,他只是在一个晚上熬夜玩弄手机,想出了如何使用密码解锁大量受保护服务。
“密码就是魔鬼,”他说,“它有时可能是上帝,有时也可能是魔鬼。”根据明尼阿波利斯警察局的逮捕令,约翰逊和其他11名同伙靠着盗取iPhone累计赚了近30万美元。但是据他自己说,实际金额可能更多。
约翰逊通常在夜间行动,首先要锁定受害者。灯光昏暗、人头攒动的酒吧成了他理想的动手场所,和大学生年龄相仿的男性则是他的理想目标。 “他们已经酩酊大醉,什么事也不知道了。”约翰逊表示。 相比之下,女性往往对可疑行为更加戒备和警觉苹果手机登录国外id显示日语。
然后就是搞到密码。根据受害者的描述,约翰逊在接近他们时友善而且精力充沛。一些人说,约翰逊用毒品和他们套近乎。其他人则说,约翰逊会告诉他们他是说唱歌手,想把他们加为Snapchat好友。聊上一会儿后,他们会把手机递给约翰逊,以为他会输入自己的信息,然后马上还给他。
这时,约翰逊会说,“嘿,你的手机被锁了。 密码是什么?”,受害者会回复,“2-3-4-5-6”之类的。 然后,约翰逊就记住了。 有时,他会录下人们输入密码的情况。
在拿到iPhone的几分钟时间内,约翰逊就会进入设置菜单,修改苹果ID密码。然后,他会使用新密码关闭“查找我的iPhone”功能,这样受害者就无法登录其他手机或电脑来远程定位甚至删除被盗设备。
约翰逊说,他会把自己的脸录入iPhone的人脸识别系统中,因为“当你拥有了Face ID时,你就拥有了打开一切的钥匙”。生物识别认证能够让约翰逊能够快速访问保存在iCloud钥匙串中的密码。
接着,他就会查看储蓄、支票、加密货币应用,希望把一大笔钱转出去。如果他在进入这些理财应用时遇到困难,他会在备忘录和照片应用中寻找额外的信息,比如社保账号。
到第二天早上时,他就把钱转走了。那时,他会去商店用Apple Pay买东西。他还会用偷来的苹果设备购买更多的苹果设备,最常见的是售价1200美元的iPad Pro型号,目的是换取现金。
最后,他会抹掉手机上的信息,并将其卖给一个名为Zhongshuang Su的下家。根据Zhongshuang Su的逮捕令,他随后会把手机卖到海外。
虽然约翰逊也偷过一些安卓手机,但他的主要目标是iPhone,因为苹果手机的转售价值更高。在酒吧里,他会环顾四周,寻找带有三个摄像头的iPhone Pro机型。他说,拥有1TB存储空间的iPhone Pro Max可以卖到900美元。约翰逊还把购买的iPad卖给了Zhongshuang Su。Zhongshuang Su承认收受赃物,被判在明尼苏达州亨内平县的成人教养所服刑120天。
约翰逊说,如果运气好,他一个周末可以向Zhongshuang Su出售了多达30部iPhone和iPad,赚上大约2万美元(约合14万元人民币),这还不包括他从受害者的银行应用、苹果支付等应用中转移走的钱。
现在,苹果推出了被盗设备保护功能。这个安全强化功能很可能会让约翰逊的大部分窃取资金把戏失效,但它不会自动打开,需要手动设置。打开它可以为机主的手机增加一道防线。
一旦被盗设备保护功能被打开,小偷要想更改苹果ID密码就需要进行Face ID或Touch ID生物识别扫描,这需要机主的脸或手指,单凭密码是行不通的。这个过程内置了一个小时的延迟,紧接着是另一次生物识别扫描。添加新的Face ID和禁用“查找我的iPhone”功能也需要同样缓慢的过程。
为了突破这些安全防护,犯罪分子可能有动机绑架一个有钱人。但是,这些保护措施可能会阻止那些只想抢手机逃离现场的小偷。
不过免费国外苹果手机id,这个过程还存在一个漏洞。获得密码的小偷仍然可以用Apple Pay购物。任何没有额外密码或PIN码保护的应用仍然很容易被入侵,比如你的电子邮件、PayPal等应用。(作者/箫雨)
