一个基本的iPhone功能帮助罪犯窃取您的整个数字生活 - 华尔街日报

纽约—感恩节周末的凌晨，雷恩·阿亚斯离开曼哈顿中城的一家酒吧时，她刚认识的一个男人抢走了她的iPhone 13 Pro Max。

几分钟后，这位31岁的高级经济学家，一家劳动力情报初创公司的员工，无法再进入她的苹果账户以及与之相关的所有内容，包括照片、联系人和笔记。她说，在接下来的24小时内，大约有1万美元从她的银行账户中消失了。

类似的故事正在全国各地的警察局中积累。盗贼利用一种非常低技术含量的把戏，观察iPhone所有者输入密码，然后偷走他们的手机——以及他们的数字生活。

[阅读我们的指南，了解如何保护iPhone数据免受盗贼侵害。]

盗贼正在利用全球超过10亿部iPhone软件设计中的一个简单漏洞。这个漏洞集中在密码码上，这是一串数字，用于访问设备；以及密码词，通常是更长的字母数字组合，用作不同账户的登录。

只要有iPhone和它的密码，一个闯入者可以在几秒钟内更改与iPhone所有者的Apple ID关联的密码。这将使受害者无法进入他们的账户，其中包括存储在iCloud中的任何内容。盗贼还经常可以掠夺手机的金融应用，因为密码可以解锁设备中存储的所有密码。

“一旦你进入手机，就像打开了一个宝盒，”曾在纽约警察局担任侦探并于去年秋天退休的亚历克斯·阿吉罗说。

他说，在过去的两年里，这座城市发生了数百起这类犯罪事件。“这种情况正在增长，”他说。“这是一种机会主义犯罪。每个人都有金融应用。”

苹果公司将自己定位为数字隐私和安全的领导者，销售其紧密集成的硬件、软件和iCloud网络服务作为对客户数据的最佳保护。“安全研究人员一致认为iPhone是最安全的消费者移动设备，我们每天都在不知疲倦地努力保护所有用户免受新兴威胁，”一位苹果女发言人说。

“我们对遭遇这种经历的用户表示同情，我们非常认真地对待对我们用户的所有攻击，无论多么罕见，”她说，并补充说公司认为这些犯罪不常见，因为它们需要盗取设备和密码。“我们将继续加强保护措施，帮助保持用户账户的安全。”

对最近一系列盗窃案的审查揭示了苹果装甲的一个可能漏洞。该公司的防御措施是围绕常见的攻击场景设计的——在互联网上试图使用个人登录凭据的黑客，或者在街上寻找iPhone以便快速出售的小偷。

它们并不一定考虑到一个充满年轻人的深夜酒吧场景中的混乱，那里的捕食者会和受害者交朋友，并引导他们透露他们的密码。一旦小偷拥有了密码和手机，他们就可以利用苹果有意设计为方便的功能：允许健忘的客户使用他们的密码重置苹果账户密码。

“攻击者使用肩窃或社会工程只是时间问题，”乔治·华盛顿大学计算机科学副教授亚当·阿维夫说。在这种情况下，依赖手机作为可信设备是失败的。

盗窃

《华尔街日报》采访的所有受害者都表示，他们的iPhone是在晚上外出社交时被盗的。一些人说，手机被他们刚认识的人从手中抢走。其他人说，他们遭到了身体袭击和恐吓，被迫交出手机和密码。有些人说他们相信自己被下药了。第二天早上醒来时，发现手机不见了，对前一晚的事毫无记忆。

在所有情况下，iPhone所有者都被锁定了他们的Apple账户。然后他们发现数千美元的财务损失，包括一些Apple Pay的费用、与手机应用程序关联的银行账户被清空以及从PayPal Holdings Inc.的Venmo和其他汇款应用程序中被取走的钱。

谷歌的Android移动操作系统中也存在类似的漏洞。然而，iPhone更高的二手价值使其成为更常见的目标，根据执法官员的说法。“我们的登录和账户恢复政策试图在允许合法用户在现实场景中保留对其账户的访问权限和将不良行为者排除在外之间取得平衡，”一位谷歌发言人说。

2022年1月22日晚，爱荷华州海瓦萨市一家创意机构的艺术总监里斯·汤普森和女友在明尼阿波利斯市中心喝酒时，他的iPhone 12 Pro在酒吧里不见了。第二天早上，当他试图从另一台设备登录他的Apple账户时，发现账户密码已被更改。他说，数千美元的费用通过Apple Pay被划走，他的Venmo账户被盗了1500美元。

明尼苏达州检察官表示，42岁的汤普森先生是一个盗窃团伙的受害者，该团伙通过从至少40名受害者那里盗取iPhone和它们的密码积累了近30万美元。该团伙以苹果智能手机为目标，迅速掠夺通过这些设备可访问的账户，然后转售手机，据称，涉嫌团伙成员之一的阿方斯·斯塔基的逮捕令显示。斯塔基先生后来承认了一项涉嫌敲诈勒索的指控，并被判处57个月的监禁。另外11名嫌疑人也被控以敲诈勒索罪。

23岁的斯塔基先生此前有轻罪记录，他表示除非得到补偿，否则不愿发表评论。他的律师拒绝置评。

两三名小偷组成的团伙会去酒吧结识受害者，经常要求他们打开Snapchat或其他社交媒体平台，案件主要调查员罗伯特·伊莱奇科警官说。在互动过程中，他们会试图观察受害者使用密码解锁iPhone的情况。如果一开始他们没有捕捉到密码，他们可能会试图让受害者把手机递给他们拍照，然后在递还手机之前悄悄关机，他补充说。重新启动iPhone后，需要输入密码才能解锁。

“就像看着这个人一遍又一遍地在手机上输入密码一样简单，”伊莱奇科警官说，并补充说有时小偷会秘密拍摄受害者，以确保他们捕捉到正确的密码序列。“有很多诀窍可以让人输入密码。”

奥斯汀、丹佛、波士顿和伦敦都曾报告过类似案例。

在纽约市，警方最早得知这起新犯罪浪潮的程度是通过一起无法解释的死亡案件。

5月27日星期五，来自华盛顿特区的约翰·厄姆伯格在曼哈顿外出夜游，最后在地狱厨房社区的一家酒吧结束了这个夜晚。五天后，这位33岁的外交和政治项目主任在他逗留的公寓里被发现死亡，钱包被掏空，没有iPhone。

起初，警方怀疑这是一起常规的药物过量。然后他的家人发现数千美元被从他的银行、PayPal和Venmo账户中取走，还有可疑的信用卡费用，根据厄姆伯格的母亲琳达·克拉里所说。她认为她儿子的苹果账户密码被更改了。

纽约市警察局的阿吉罗先生参与了对厄姆伯格死亡案件的调查，他在9月份退休前表示，当局认为他是一群盗贼的受害者，这些盗贼以纽约的酒吧客为目标，通过应用程序洗钱，然后转售手机。他补充说，这个特定的团伙被认为负责了30多起事件。

曼哈顿地区检察官办公室正在准备一份案件提交陪审团审理，据熟悉调查的人士透露。

方法

理论上，苹果最近的安全创新应该消除了拦截密码的漏洞。苹果发言人指出，Face ID和Touch ID可以限制根本不需要输入密码。

然而在纽约，一些当局建议将Face ID作为手机的可能入口。该市夜生活办公室，作为市政厅和酒店业之间的联络处，举办了一场演讲，建议酒吧客人禁用面部识别，理论上认为一个无法自理的人的脸可能会被盗贼利用。

根据《华尔街日报》的报道和设备测试，密码泄露是更有可能的情况。要在iPhone上更改某人的Apple ID密码，仅仅进行面部扫描是不够的：需要输入密码。当密码更改完成后，软件会提供一个选项，强制其他Apple设备，比如Mac或iPad，退出Apple账户，这样受害者无法转向这些设备重新获得访问权限。软件从不要求用户在设置新密码之前输入旧密码。《华尔街日报》的记者能够在不到一分钟内完成所有这些操作。

一位苹果女发言人表示，该系统旨在帮助忘记账户密码的用户。她补充说，它需要两个因素，即物理设备以及设备的密码。

有了新密码，盗贼可以禁用“查找我的iPhone”功能，否则受害者可以定位他们的手机，甚至远程擦除它们以保护数据。禁用“查找我的iPhone”还允许盗贼转售iPhone。

苹果最近推出了使用硬件安全密钥的功能，小型USB插件，用于保护Apple ID。在《华尔街日报》的测试中，安全密钥无法阻止仅使用密码进行账户更改，甚至可以使用密码从账户中删除安全密钥。

损害

泰勒·阿什，一家总部位于纽约的科技公司的销售主管，称他在2021年12月10日晚上在一家纽约酒吧被下药。他不记得他的手机是如何被拿走的。他唯一知道的是拿走手机的人获得了他的银行应用的访问权限，将他的银行借记卡注册到了Apple Pay中，并以他的名义开通了Venmo信用卡和苹果信用卡。

纽约警察局拒绝提供他们认为盗贼是如何获取目标手机访问权限的细节。

阿什先生从他的银行账户转出了超过1万美元，他说他将这些账户的密码存储在苹果的iCloud钥匙链密码管理器中。根据《华尔街日报》的测试，该功能会在成功的面部识别或指纹识别扫描后，或者iPhone密码的输入后，自动填充登录信息。在阿什先生和其他人的情况下，银行欺诈发生在盗贼无法再使用受害者的生物特征识别之后。

如果应用程序在登录过程中需要短信验证码，这是一种被称为双因素认证的安全实践，那么这些消息将发送到iPhone上——盗贼手中的同一部手机。

在使用密码登录银行应用程序后，《华尔街日报》能够将数字借记卡添加到Apple Pay中，而无需实际卡片或它们的密码。资金可以从借记卡发送到Apple Cash，可以用于发送资金或在商店进行非接触式支付。

几名受害者表示，一个苹果信用卡是以他们的名义开通的。这些卡很快就累积了数千美元的费用。通过苹果的钱包应用访问，苹果卡申请将自动填充iPhone上可能存储的信息，如所有者的姓名、地址和生日。

Apple Card表格确实要求申请人输入社会安全号码的最后四位数字。一位受害者David Vigilante认为，小偷们在他的iPhone XS Max的照片应用中找到了这些信息。

在10月23日凌晨在曼哈顿下东区的一家比萨店被盗后，这位30岁的房地产数据公司产品经理发现有人试图通过Apple Pay向他的信用卡充值15000美元，并且以他的名义开立了一张新的苹果信用卡。几天后重新进入他的苹果账户时，他发现之前拍摄的一些敏感文件照片——包括护照、驾照、工资直接存款表和健康保险文件——被整理到一个新的相册中。

诸如Apple照片、iCloud Drive和Google Drive之类的应用现在提供了在图像和文档中搜索文本的功能。在《华尔街日报》的测试中，在Apple照片应用中搜索“SSN”（社会安全号码）和“TIN”（纳税人识别号）立即显示了一张存储在手机上的包含社会安全信息的1099税表照片。

《华尔街日报》采访的大多数受害者都报了警。有人向联邦贸易委员会提出了身份盗用索赔。他们的大多数银行和金融应用已经退还了通过欺诈活动造成的损失。

一些iPhone被盗的人无法重新获得对他们的苹果账户的访问权限。通过密码，苹果ID的备用电子邮件和电话号码可以更改，并且可以启用一项名为恢复密钥的安全功能。在最近的案例中，小偷更改了苹果账户的联系信息并启用了恢复密钥，阻止受害者使用账户恢复服务，以便那些忘记苹果ID密码的人。

苹果发言人表示，账户恢复政策旨在保护用户免受恶意用户访问其账户。

那些仍然无法进入他们的苹果账户的人往往失去了无法替代的东西。

在纽约酒吧外被偷走iPhone后，普林斯顿大学经济学研究生毕业生阿亚斯女士试图登录她的Apple ID并访问“查找我的iPhone”。但那时小偷已经更改了她的密码。几个月后，经过多次致电苹果支持，她仍然无法重新进入她的账户，因为小偷还启用了恢复密钥。

根据苹果的政策，如果启用了恢复密钥并且用户无法提供它，公司不允许用户重新获得对其账户的访问权限。

“我打开我的照片应用程序并向上滚动，希望看到熟悉的面孔，我爸爸和我的家人的照片——它们都不见了，”阿亚斯女士说。“被永久告知我失去了所有那些回忆是非常艰难的。”

[阅读我们的指南，了解如何保护您的iPhone数据免受小偷的侵害。]

科迪利亚·詹姆斯、丽莎·施瓦茨和内莉·吉文为本文做出了贡献。

写信给乔安娜·斯特恩，邮箱：[email protected]，以及妮可·阮，邮箱：[email protected]

本文发表于2023年2月25日的印刷版上，标题为“罪犯使用iPhone窃取数字生活”。