感恩節周末的凌晨,正當瑞恩·阿亞斯(Reyhan Ayas)離開曼哈頓中城的一家酒吧時,一名她剛剛認識的男子偷走了她的iPhone 13 Pro Max。
僅僅過了幾分鐘,阿亞斯就無法進入自己的蘋果(Apple)帳戶了,帳戶裡的所有內容,包括照片、聯繫人和筆記,全都無法訪問了。隨後的24小時裡,她說,她的銀行帳戶裡大約少了1萬美元。阿亞斯今年31歲,是一家勞動力分析類初創企業的高級經濟學家。
本文為風傳媒與華爾街日報正式合作授權轉載。加入VVIP會員請點此訂閱:風傳媒・華爾街日報VVIP,獨享全球最低優惠價,暢讀中英日文全版本之華爾街日報,洞悉國際政經最前沿。
眼下,類似案件在全美警局層出不窮。竊賊用了一種技術含量極低的手段,先是偷窺iPhone用戶輸入解鎖密碼,然後偷走「獵物」的手機——以及他們的數位生活。
目前全球處於使用狀態的iPhone數量已超10億部,而竊賊利用的是iPhone軟體設計中一個簡單的隱患。主要的問題在於解鎖密碼和帳戶密碼,前者是一短串數位,用於訪問某台設備,後者則通常是一串較長的數位與字母組合,用於登錄不同帳戶。
只要有iPhone和解鎖密碼,入侵者就可以在幾秒鐘內修改手機主人Apple ID的帳戶密碼。如此一來,受害者便無法登錄他們的帳戶,包括iCloud上存儲的所有內容,他們都無法看到。手機上的金融類應用程式通常也會淪為竊賊的獵物,因為只要知曉了解鎖密碼,就能解鎖設備上儲存的所有帳戶密碼。
「一旦進到手機裡面,它就如同一個百寶箱。」亞力克斯·阿基羅(Alex Argiro)說,去年秋天退休前,他曾以紐約市警局偵探的身份調查過一個備受關注的盜竊集團。
他說,過去兩年間,紐約市發生了數百起這種類型的犯罪。「數量越來越多。」他說,「這是一種看到機會便會去實施的犯罪。每個人手機上都有金融類應用程式。」
蘋果公司自稱數位隱私和安全領域的領導者,並宣揚其高度一體化的硬件、軟體及iCloud網路服務是對用戶數據的最佳保護。「安全領域的研究人員一致認為,iPhone是安全係數最高的消費類移動設備,並且我們每天都在不辭辛勞地工作,以便在新的以及正在出現的威脅面前,為我們所有用戶築起盾牌。」一位蘋果發言人說。
「對於有這種遭遇的用戶,我們表示同情;對於用戶受到的所有攻擊,我們都十分重視,不管這種攻擊多麼罕見。」她說,蘋果相信這些犯罪並不常見,因為它們需要竊賊同時獲得設備和解鎖密碼。「我們將繼續提升防護力度,幫助確保用戶帳戶安全。」
然而,對最近一連串盜竊事件的研究卻暴露出蘋果「盾牌」中可能存在的一個漏洞。蘋果的防禦系統是圍繞常見的攻擊場景來設計的——網路駭客試圖盜用一個人的登錄資訊,或是街上的竊賊企圖偷走iPhone後迅速賣掉。
這些場景不一定適用於某一天的深夜酒吧——酒吧裡擠滿了年輕人,掠食者先是假裝同「獵物」交友,而後誘使他們泄露解鎖密碼。竊賊一旦拿到了解鎖密碼和手機,就能利用蘋果原本為方便用戶而引入的一項功能:健忘的用戶可以利用解鎖密碼來重置蘋果帳戶的密碼。
「入侵者利用肩窺(shoulder surfing,譯者注:從別人背後偷看銀行卡密碼以盜取其帳戶存款的行為)或是社交工程(social engineering)的手段只是時間問題。」喬治華盛頓大學(George Washington University)計算機科學副教授亞當·阿維夫(Adam Aviv)說。他還談到,這種情況下,將手機視為一種可靠設備而對其加以依賴,是行不通的。
下手
所有接受《華爾街日報》(The Wall Street Journal)採訪的受害者均表示,他們是在晚上外出社交時被偷走iPhone的。有些人說,他們的手機是被剛剛認識的人偷走的;另一些人說,他們遭到了人身攻擊和恐嚇,被迫交出了手機和解鎖密碼;還有少數人說,他們覺得自己被下藥了。他們第二天早上醒來時才發現手機不見了,而且已經不記得前一晚發生的事。
所有這些案件中,iPhone主人都無法登錄自己的蘋果帳戶。接著,他們發現了數千美元的金融盜竊事件,包括Apple Pay被盜用、手機應用程式綁定的銀行帳戶被用光,以及PayPal Holdings Inc.旗下Venmo及其他轉帳類應用程式裡的錢被取走,而且這幾種情況會同時出現。
Google(Google)的移動操作系統安卓(Android)也存在類似隱患。但據執法人員說,iPhone的轉售價值更高,這使得它們更容易淪為不法分子的目標。「我們的登錄與帳戶恢復政策試圖在兩件事之間達到平衡,一方面,允許合法用戶在現實場景中保留對其帳戶的訪問權,另一方面,也不要給壞人可乘之機。」一位Google發言人說。
瑞斯·湯普森(Reece Thompson)是愛荷華州海華沙(Hiawatha)一家創意機構的藝術總監,2022年1月22日晚,他在明尼阿波利斯(Minneapolis)市中心停留期間曾與女友去酒吧喝酒,後來他的iPhone 12 Pro在酒吧不翼而飛。次日早晨,他試圖從另一台設備上登錄自己的蘋果帳戶,卻發現帳戶密碼已被更改。他說,他的信用卡被人通過Apple Pay盜刷了幾千美元,他的Venmo帳戶也被盜了1,500美元。
明尼蘇達州檢方稱,42歲的湯普森是一個盜竊集團的受害者,該集團通過盜取至少40人的iPhone及解鎖密碼,累計獲得贓款近30萬美元。對該團伙成員阿方茲·斯塔基(Alfonze Stuckey)的逮捕令顯示,這群人先是鎖定酒吧裡用iPhone的人,得手後,便迅速洗劫可通過這些設備訪問的帳戶,然後再將手機賣掉。斯塔基後來承認犯有詐騙罪,並被判處57個月監禁。此案中另有11名嫌疑人也受到了詐騙指控。
23歲的斯塔基有輕罪前科,他說,除非獲得補償,否則他不會置評。斯塔基的律師拒絕置評。
據該案件首席調查員羅伯特·伊利申科(Robert Illetschko)警司介紹,集團中先是會有兩三名竊賊去酒吧同受害人交友,他們常常會讓後者打開Snapchat或是其他社交媒體平台。他說,你來我往中,他們會偷看受害人如何用解鎖密碼解鎖iPhone。要是一開始沒有看清解鎖密碼,他們可能會讓受害者把手機遞給他們拍一下照,然後在還回手機前,悄悄把手機關機,伊利申科補充說。iPhone重啟後,需要再次輸入解鎖密碼才能解鎖。
「這就像看著這個人不斷在手機上輸入密碼一樣簡單,」伊利申科說,有時竊賊還會偷拍受害者,以確保數位順序無誤。「想讓人輸入解鎖密碼,手段有很多。」
奧斯汀、丹佛、波士頓和倫敦也報告了類似案件。
在紐約市,對於這波新的犯罪潮已經發展到何種程度,警方最初獲得的初步線索之一是來自一起不明原因的死亡事件。
去年5月27日星期五,來自華盛頓特區的約翰·翁博格(John Umberger)正在曼哈頓,他晚上出了趟門,當晚他去的最後一個地方是地獄廚房(Hell’s Kitchen)一帶的一家酒吧。五天後,33歲的翁博格被發現死在了他住的公寓裡,當時他的錢包空空如也,iPhone也不見了蹤影。翁博格生前是美國法律與司法中心(American Center for Law and Justice)的外交及政治項目主管。
起初,警方懷疑這是一起普通的吸毒過量事件。據翁博格的母親琳達·克拉里(Linda Clary)說,後來家人發現,他的銀行帳戶、PayPal以及Venmo帳戶被轉走了數千美元,信用卡也出現了可疑的消費記錄。她覺得,兒子的蘋果帳戶被人改了密碼。
紐約市警探阿基羅去年9月退休前,曾參與調查翁博格死亡案,他說,警方後來認為翁博格是一個竊盜集團的受害者,這群人以紐約酒吧裡的客人為目標,他們通過應用程式來洗錢,然後把手機賣掉。據信這伙人對30多起事件都負有責任,阿基羅補充說。
據熟悉此次調查的人說,曼哈頓地區檢察官辦公室正在整理案件,準備提交給大陪審團。
原理
從理論上說,蘋果最近在安全領域的創新應該能消除解鎖密碼被盜的隱患。上述蘋果發言人指出,有了Face ID和Touch ID,完全不用再輸入解鎖密碼。
但在紐約,一些權威人士指出,Face ID有可能被用作侵入手機的切入口。在市政部門與酒店服務業之間扮演溝通角色的紐約市夜生活辦公室(Office of Nightlife)曾邀請過一位主講人,此人建議人們去酒吧時禁用臉部識別功能,因為從理論上說,喪失活動能力的人,其臉部可能會被竊賊利用。
根據《華爾街日報》的報導以及現場測試,更可能出現的情況是解鎖密碼被破解。要在iPhone上更改Apple ID的帳戶密碼,僅靠臉部掃描是不夠的,還需要輸入解鎖密碼。帳戶密碼修改完成後,軟體會提供一個選項,可以強制Mac、iPad等其他蘋果設備退出當前的蘋果帳戶,如此一來,受害者就無法通過這些設備重新進入自己的帳戶。該軟體從不要求用戶在設置新的帳戶密碼之前輸入舊密碼。《華爾街日報》的記者完成這一切,只用了不到一分鐘。
一位蘋果發言人說,如此設計系統是為了幫助那些忘掉帳戶密碼的用戶。她還說,這需要兩個因素同時具備:iPhone本身以及解鎖密碼。
設置新的帳戶密碼後,竊賊就能禁用「查找我的iPhone」功能,該功能在開啟狀態下可以讓受害者獲得手機定位,甚至還能遠程刪除手機上的數據以保護隱私。此外,禁用該功能也為竊賊轉手賣掉iPhone提供了便利。
蘋果最近推出了使用硬體安全密鑰——小型USB加密狗——來保護Apple ID的功能。在《華爾街日報》的測試中,儘管使用了安全密鑰,但依然可以僅憑解鎖密碼就修改帳戶密碼,甚至還可以通過解鎖密碼將安全密鑰從帳戶中移除。
損失
泰勒·艾希(Taylor Ashy)是一家紐約科技公司的一名銷售主管,他說2021年12月10那晚,他在紐約的一家酒吧裡被人下藥了。他已經不記得自己的手機是如何被人拿走的。他只知道,拿走他手機的人進入了他的銀行應用程式,並在Apple Pay裡綁定了他的銀行簽帳金融卡,還以他的名義辦了一張Venmo信用卡和蘋果信用卡。
儘管紐約市警局認為竊賊侵入了受害者的手機,但至於警方是如何得出這一結論的,他們拒絕提供細節。
艾希的銀行帳戶裡被轉走了1萬多美元,他說,他把這些帳戶的密碼存在蘋果的密碼管理工具iCloud鑰匙串(Keychain)裡。根據《華爾街日報》的測試,啟用iCloud鑰匙串後,只要能通過Face ID或Touch ID的識別,或者輸入iPhone的解鎖密碼,它就會自動填入登錄資訊。在艾希等人的案件中,銀行欺詐事件均發生在竊賊已無法獲得受害者的生物識別資訊之後。
如果應用程式還需要用戶在登錄時輸入簡訊驗證碼(這種安全操作被稱為雙重認證),短信則會發到iPhone上——而這部手機正在竊賊手中。
通過解鎖密碼進入銀行類應用程式後,《華爾街日報》可以在無需實體卡或PIN碼的情況下,在Apple Pay中添加數位簽帳金融卡。簽帳金融卡裡的錢可以轉到Apple Cash裡,後者也可以用來轉帳,或是在商店裡進行非接觸式支付。
幾名受害者說,有人以他們的名義開了一張蘋果信用卡。這些卡很快產生了數千美元的消費。如果打開Apple Wallet,申請蘋果信用卡時就會自動填入可能已儲存在iPhone上的個人資訊,如用戶姓名、住址及生日。
申請蘋果信用卡時,的確需要申請人輸入其社會安全號碼的後四位數字。受害者大衛·維吉蘭特(David Vigilante)認為,竊賊應該是在他iPhone XS Max的相冊裡找到了這一資訊。
30歲的維吉蘭特是一家房產數據公司的產品經理,去年10月23日凌晨,他的手機在曼哈頓下東區的一家披薩店被盜。之後他發現,有人試圖通過Apple Pay在他的信用卡上扣款1.5萬美元,還有人以他的名義開了一張新的蘋果信用卡。幾天后他再次進入自己的蘋果帳戶時,發現自己之前拍攝的敏感文件照片——他的護照、駕照、將工資直接匯入銀行帳戶的入賬單以及醫療保險文件——被存在了一個新相冊裡。
蘋果相冊、iCloud Drive和Google Drive等應用程式如今都有在圖像和文檔中搜尋文本的功能。在《華爾街日報》的測試中,在蘋果相冊中搜尋SSN(社會安全號碼)和TIN(納稅人識別號碼),馬上就會出現一張1099稅表的照片,上面有手機中已儲存的社會安全資訊。
《華爾街日報》採訪的大部分受害者都選擇了報警。其中一人還向美國聯邦貿易委員會(Federal Trade Commission)報告了身份被盜。大多數涉事銀行和金融類應用程式都退還了被認為是因欺詐活動而損失的資金。
一些iPhone被盜的人無法重新登入他們的蘋果帳戶了。在知曉解鎖密碼的情況下,竊賊可以修改Apple ID的備用郵箱和備用手機號,還可以啟用名為「恢復密鑰」的安全功能。最近的一些案件中,竊賊就更改了蘋果帳戶的聯繫人資訊,並開啟了「恢復密鑰」功能,令受害人無法使用原本為忘記Apple ID密碼的人提供的帳戶恢復服務。
蘋果發言人表示,制定帳戶恢復政策是為了防止不良分子登入用戶的帳戶。
那些仍舊無法登錄蘋果帳戶的人,往往會失去一些無可替代的東西。
阿亞斯的iPhone在紐約酒吧外被盜後不久,擁有普林斯頓大學(Princeton University)經濟學碩士學位的她試圖登錄自己的Apple ID,想要啟用「查找我的iPhone」功能。但那時,竊賊已經更改了她的帳戶密碼。幾個月後,儘管她給蘋果客服打了無數次電話,但依然無法找回自己的帳戶,原因是竊賊還啟用了「恢復密鑰」功能。
根據蘋果的政策,如果啟用了「恢復密鑰」,且用戶無法提供這串密鑰,蘋果將不允許用戶重新獲得其帳戶的訪問權限。
「我進到相冊裡,向上滑動螢幕,希望能看到那些熟悉的面孔,看到我爸爸和家人的照片——它們全都不見了。」阿亞斯說,「我被宣判已經失去了所有這些回憶,這種感覺很難受。」
(若想了解如何保護自己的iPhone數據不被竊取,請閱讀我們的防盜指南(英文))
