不怕密码外泄 iPhone新增“遭窃装置防护”设定

苹果(Apple)22日释出iOS 17.3操作系统版本更新，新增“遭窃装置防护”(Stolen Device Protection)设定，这层防护能在装置失窃时，避免有心人士盗用密码解锁，进一步窃取重要个人资料或财务。

华尔街日报报导，苹果此次发布软件更新，是全美各地iPhone手机失窃事件一年来的调查回应；在这类窃盗事件中，窃贼得手iPhone后，可迅速更改被害人的iPhone密码及其他设定，将被害人反锁在自己的苹果账户之外，接着领光银行储蓄、盗刷信用卡等。

一名正在明尼苏达州监狱服刑的iPhone窃贼表示，他曾利用苹果先前这个漏洞，窃取数百支iPhone，不法获利数十万元。

“遭窃装置防护”让窃贼更难钻漏洞，手机密码是当脸部辨识(Face ID)与指纹辨识(Touch ID)失败后的另一层防护。

当窃贼取得手机密码，便能为所欲为，包括利用密码变更苹果账户(Apple ID)，这样原使用者便无法重新登入、停用“寻找我的iPhone”，还能存取云端钥匙圈(iCloud Keychain)中储存的密码，包括银行和虚拟货币应用程序的密码。

此外，窃贼还能启用复原密钥(recovery key)，利用内建的“安全性设置”永远锁定使用者的苹果账户。若窃贼要将iPhone变现，则可利用密码删光装置内容，转售得利。

有鉴于此，使用者更新iOS 17.3之后，开启“遭窃装置防护”功能，当使用者离开iPhone熟悉的地点，如住家或工作场所，iPhone便会限制密码取用权限。

换言之，若iPhone在酒吧遭窃，窃贼需要突破两层防护才能取用密码更改设定。这两层防护依序为脸部与指纹生物辨识验证(Face ID or Touch ID biometric authentication)以及安全延迟(security delay)。

脸部与指纹生物辨识验证是指网页取用密码或付款时，需要透过脸部或指纹生物验证，而输入密码将不再是替代方案。

安全延迟则是使用者要修改敏感设定，如更改Apple ID密码、启用密钥或停用“寻找”功能等，则需额外两步骤验证；iPhone会先要求提供生物辨识验证，接着倒数一小时，之后再次要求生物辨识验证，两次验证都通过之后，才能更改设定。