Ніколь Нгуєн і Джоанна Стерн з The Wall Street Journal сьогодні опублікували звіт, у якому висвітлюють, як злодії можуть використовувати додаткову опцію безпеки ключа відновлення Apple, щоб назавжди заблокувати користувачів iPhone від їхніх облікових записів Apple ID.
Як журналісти вперше виявили в лютому, почастішали випадки, коли злодії публічно шпигували за паролем користувача iPhone, а потім викрадали пристрій, щоб отримати широкий доступ до пристрою та його вмісту, включаючи фінансові програми. Усі жертви, опитані в першому звіті, сказали, що їхні iPhone викрали, коли вони спілкувалися в барах та інших громадських місцях уночі.
Знаючи код доступу iPhone, злодій може легко скинути пароль Apple ID жертви в програмі «Налаштування», навіть якщо ввімкнено Face ID або Touch ID. Згодом злодій може вимкнути функцію Find My iPhone на пристрої, не даючи власнику пристрою відстежувати його місцеперебування або дистанційно стерти дані пристрою через iCloud.
У сьогоднішньому звіті більше уваги приділяється додатковому кроку, який можуть зробити злодії: використанню викраденого пристрою для встановлення або скидання ключа відновлення, випадково згенерованого 28-символьного коду, який потрібен для відновлення доступу до ідентифікатора Apple ID після активації.
«Політика Apple практично не дає користувачам можливість повернутися до своїх облікових записів без ключа відновлення», — йдеться у звіті. Маючи повний доступ до викраденого iPhone, коду доступу пристрою та пароля Apple ID, злодії можуть красти гроші через Apple Pay і, можливо, інші банківські програми, переглядати конфіденційну інформацію, як-от фотографії та електронні листи тощо.
Веб-сайт Apple дійсно попереджає, що втрата доступу як до надійних пристроїв, так і до ключа відновлення означає, що «ви можете назавжди заблокувати свій обліковий запис». У цьому сценарії, однак, злодії, які шпигують за паролями iPhone перед крадіжкою пристроїв, означає, що жертвам достатньо лише втратити свій пристрій, щоб потенційно бути назавжди заблокованим. Звіт служить цінним нагадуванням про те, щоб захистити пароль вашого iPhone у громадських місцях.
Apple відповідає
У заяві, поширеній у відповідь на звіт, Apple заявила, що «завжди досліджує додаткові засоби захисту від нових загроз, подібних цій».
«Ми співчуваємо людям, які мали такий досвід, і дуже серйозно ставимося до всіх атак на наших користувачів, якими б рідкісними вони не були», — сказав The Wall Street Journal представник Apple . «Ми щодня невпинно працюємо над захистом облікових записів і даних наших користувачів і постійно шукаємо додаткові засоби захисту від нових загроз, подібних до цієї».
Як залишатися захищеним
Користувачі iPhone повинні використовувати Face ID або Touch ID якомога частіше в громадських місцях, щоб запобігти злодіям підглядати їхній пароль. У ситуаціях, коли необхідно ввести пароль, користувачі можуть тримати руки над екраном, щоб приховати введення пароля.
У звіті також рекомендовано користувачам перейти з чотиризначного коду доступу на буквено-цифровий код доступу, за яким злодіям буде важче підглядати. Це можна зробити в програмі «Налаштування» в розділі «Ідентифікатор обличчя та пароль» → «Змінити пароль».
Щоб захистити банківський рахунок, спробуйте зберегти пароль у менеджері паролів, який не містить код доступу пристрою, наприклад 1Password. Користувачі можуть увімкнути батьківський контроль Screen Time, щоб додатково заблокувати свій пристрій, додається у звіті.
Comments