然而,對最近一連串盜竊事件的研究卻暴露出蘋果「盾牌」中可能存在的一個漏洞。蘋果的防禦系統是圍繞常見的攻擊場景來設計的——網路駭客試圖盜用一個人的登錄資訊,或是街上的竊賊企圖偷走iPhone後迅速賣掉。
這些場景不一定適用於某一天的深夜酒吧——酒吧裡擠滿了年輕人,掠食者先是假裝同「獵物」交友,而後誘使他們泄露解鎖密碼。竊賊一旦拿到了解鎖密碼和手機,就能利用蘋果原本為方便用戶而引入的一項功能:健忘的用戶可以利用解鎖密碼來重置蘋果帳戶的密碼。
「入侵者利用肩窺(shoulder surfing,譯者注:從別人背後偷看銀行卡密碼以盜取其帳戶存款的行為)或是社交工程(social engineering)的手段只是時間問題。」喬治華盛頓大學(George Washington University)計算機科學副教授亞當·阿維夫(Adam Aviv)說。他還談到,這種情況下,將手機視為一種可靠設備而對其加以依賴,是行不通的。
下手
所有接受《華爾街日報》(The Wall Street Journal)採訪的受害者均表示,他們是在晚上外出社交時被偷走iPhone的。有些人說,他們的手機是被剛剛認識的人偷走的;另一些人說,他們遭到了人身攻擊和恐嚇,被迫交出了手機和解鎖密碼;還有少數人說,他們覺得自己被下藥了。他們第二天早上醒來時才發現手機不見了,而且已經不記得前一晚發生的事。
所有這些案件中,iPhone主人都無法登錄自己的蘋果帳戶。接著,他們發現了數千美元的金融盜竊事件,包括Apple Pay被盜用、手機應用程式綁定的銀行帳戶被用光,以及PayPal Holdings Inc.旗下Venmo及其他轉帳類應用程式裡的錢被取走,而且這幾種情況會同時出現。
Google(Google)的移動操作系統安卓(Android)也存在類似隱患。但據執法人員說,iPhone的轉售價值更高,這使得它們更容易淪為不法分子的目標。「我們的登錄與帳戶恢復政策試圖在兩件事之間達到平衡,一方面,允許合法用戶在現實場景中保留對其帳戶的訪問權,另一方面,也不要給壞人可乘之機。」一位Google發言人說。
瑞斯·湯普森(Reece Thompson)是愛荷華州海華沙(Hiawatha)一家創意機構的藝術總監,2022年1月22日晚,他在明尼阿波利斯(Minneapolis)市中心停留期間曾與女友去酒吧喝酒,後來他的iPhone 12 Pro在酒吧不翼而飛。次日早晨,他試圖從另一台設備上登錄自己的蘋果帳戶,卻發現帳戶密碼已被更改。他說,他的信用卡被人通過Apple Pay盜刷了幾千美元,他的Venmo帳戶也被盜了1,500美元。
