對於蘋果設備用戶來說,Apple ID及其密碼並不陌生,買了新設備想激活要用它,下載應用要用它,進行重要設置改動時也要用它。從最近發生的新聞看,連不法分子都開始盯上了它。Apple ID究竟有多重要,不法分子為什麼會盯上它?AppleID密碼被盜,後果有多嚴重?本期《好奇心》就為你回答這些問題。
實驗時間:
8月30日、9月1日
實驗地點:
華商報社、城南一小區
實驗人員:
華商報記者、熱心市民沈女士
實驗設備:
兩部iPhone手機(作業系統均為ios8.4)、一部筆記本電腦
實驗顧問:
西安電子科技大學網絡與信息安全學院副教授、教育部信息安全團隊骨幹成員楊超,網絡與信息安全學院副教授崔豔鵬
>>新聞事件
iPhone6被偷後ID又被套 為解綁設備遭詐財2000元
網友「鷚鳴」7月28日發微博稱,3月15日他的iPhone6在西安和平門附近被偷。隨後幾個月他不斷收到釣魚郵件要套取他的Apple ID密碼。7月25日晚上,他收到「你的ID密碼被嘗試重置,但由於嘗試次數太多被凍結」的提醒後,他上了「蘋果官網」去修改密碼,但因「偷手機的那些人嘗試修改密碼次數過多被凍結」修改不了。第二天他收到提醒,密碼已被重置,ID關聯的郵箱也被更換。他正打電話,手機突然沒聲了,界面也出了問題,原來對方將他手機內容擦除並鎖定了。他趕緊看家人手機,也都出現了同樣的情況。而他在同一個Apple ID下共綁定了10部蘋果設備。後來對方通過QQ與他聯繫,要價2000元給打包解鎖,他不得不給對方打了錢。
高中生iPhone6被偷後被釣魚網站套走ID密碼
8月29日華商報曾報導,8月27日晚8時許,高一女孩小童和同學在西安大明宮附近聊天,突然發現iPhone6不見了。她用同學的手機登錄蘋果iCloud官網,追蹤丟失手機。第二天,同學打電話說收到一條簡訊,內有網址連結,給小童轉發了過來。小童點開輸入信息後,手機徹底失聯。
這條簡訊內容為:「您開啟丟失模式的iPhone設備在蘋果授權門店No.0326服務點申請刷機激活服務,如非您本人,請登錄攔截……」,簡訊裡有一個網址連結。
小童媽媽趙女士致電蘋果客服,客服人員說他們是不會發簡訊向客戶索要個人信息的,並認定趙女士收到的網址連結為釣魚網站,Apple ID已被套走。8月27日晚,趙女士向公安新城分局自強路派出所報案。
>>馬上實驗
實驗1 ID密碼洩露究竟能看到什麼?
備份在雲端的通訊錄、照片等都能看到
從新聞報導來看,當事人ID密碼洩漏多是因為上了「釣魚」網站的當,在仿冒的「蘋果官方」網頁填寫了自己的ID密碼被套走。所以實驗模擬的情景是,市民沈女士iPhone5的Apple ID及密碼已被扮作「黑客」的記者成功「套取」,「黑客」通過網絡對該手機進行操作。
實驗開始,「黑客」在電腦上打開蘋果官方iCloud登錄頁面,然後輸入已知的沈女士的Apple ID及密碼。成功登錄後,便看到了12個APP圖標,分別為:郵件、通訊錄、日曆、照片、iCloud Drive、備忘錄、提醒事項、Pages、Num-bers、Keynote、查找我的iPhone、設置。在瀏覽器右上角還能看到沈女士的全名。
這12個APP均可點開。點開「郵件」APP後,已發送郵件可點開查看,「通訊錄」中所有聯繫人的姓名電話歷歷在目,「備忘錄」裡記錄的文字不僅能看而且能改能新建,「提醒事項」裡已計劃的「照相」事項顯示為「已完成」,「照片」打開後可以看到照片流裡的照片。點擊「查找我的iPhone」後,可以查看到機主正位於城南一家小區附近,其他的APP也都可點開。
這樣的體驗,簡直和看自己的手機一樣方便,僅僅掌握了一個ID密碼,就可以這麼輕鬆地獲取如此多的個人信息,ID密碼一旦被不法分子掌握後會怎樣?簡直不敢想像。
這是不是因為機主登錄了iCloud的原因?如果從iCloud註銷會怎樣?
華商報記者拿出自己的 iPhone 手機,並從iCloud註銷,然後在電腦上登錄自己的Apple ID,看到的情形卻依然和沈女士手機一樣。12個APP依然歷歷在目,郵件裡的已發送郵件、通訊錄裡的姓名和電話號碼、備忘錄裡的記事等全都可以查看。看來如果被人竊取了ID帳號和密碼,即便發覺後從iCloud註銷,以前在雲端備份的信息也照樣可能被竊取。
怎麼辦?看來只能在電腦端動手刪了!但是刪掉了網絡上的信息,伺服器上的信息能同步刪除嗎?
實驗總結
西安電子科技大學副教授崔豔鵬:Apple ID已成為用戶通往蘋果整個雲服務體系的必經也是唯一通道,通過Apple ID帳號和密碼,可以接觸到所有存儲在蘋果iCloud雲端服務的數據,例如,郵件、通訊錄、備忘錄、照片流等。若Apple ID被不法分子竊取,他們可以輕鬆地通過電子郵件、iMessage簡訊以及雲端備份來獲取App數據、App設置、系統設置(不包括獨立服務密碼或是第三方應用密碼)以及備份在雲端的照片、視頻、簡訊、郵件等。即便從iCloud將設備「註銷」,其實也只是退出,並非將帳號徹底刪除,隱私數據還依然保存在雲端。
實驗2 除個人信息可能遭窺探還可能面臨什麼問題
可遠程操作手機設置 綁定信用卡 可能會被盜刷
為此,華商報記者繼續扮作「黑客」,對沈女士的Apple ID帳戶進行操作。點擊發現,12個APP每個都可以操作:郵件可以新建、發送、刪除。通信錄可以導入、導出、刪除、列印。打開「查找我的iPhone」可以讓沈女士的手機播放鈴聲,並可將其設為「丟失狀態」,操作非常順利。撤銷「丟失模式」後,沈女士的手機被設了密碼,需要輸入記者設定「丟失狀態」時輸入的密碼才能開機。對「設置」APP進行操作,甚至可以對沈女士的Apple ID進行管理和修改。
從新聞報導來看,ID密碼被「釣」有兩種情況:一種是手機丟失後,機主啟用了「查找我的iPhone」將手機設為丟失模式,拿到手機的人要想使用這臺手機,必須要解鎖後才能打開手機,而要想抹掉設備上的數據改用新ID激活,就必須要知道原ID帳號及密碼。這樣做的目的,是為了破解設備。
另一種是手機雖然在機主手裡,但Apple ID卻被人「釣」走了,不法分子通過在蘋果官方iCloud網頁登錄後,利用「查找我的iPhone」和「釣」來的ID和密碼,將開著「查找我的iPhone」的設備鎖定,使機主用不成手機藉此敲詐錢財。
這兩種情況都和「查找我的iPhone」有關。第一種情形,一旦機主的ID密碼被套,不法分子迅速進行帳號設置,設備從此就和機主沒有關聯了,想要找回設備難上加難;第二種情形下媒體報導的事件多是為了詐財。
但其實,Apple ID被竊取的潛在危害不僅只是財產損失。由於APP上傳在雲端的隱私數據各種各樣,遇到別有用心的不法分子竊取這些私密信息進行惡意利用,加之機主的具體地址、作息習慣等隱私信息可能被不法分子實時監控,帶來潛在的威脅不言而喻。如果「這扇門」被打開時,機主毫無察覺,這又該多麼可怕?不過沈女士說,好在「黑客」登錄進行操作時,她的郵箱會收到提醒。
實驗總結
崔豔鵬:Apple ID被竊取,不法分子可以使用「查找我的……」服務來遠程擦除Apple ID關聯的iPhone手機或者iPad平板電腦。雖然該服務可以在蘋果設備丟失時幫助機主進行追蹤定位,為尋找設備提供線索,但Apple ID密碼一旦洩露,反而有可能被不法分子利用,來遠程擦除設備,成為對機主進行敲詐和操控的工具。而通過Apple ID在iCloud竊取的App數據、App設置、系統設置、照片、視頻、簡訊、電子郵件、通訊錄等則有可能被不法分子販賣給不同的人,他們甚至可能通過通訊錄等信息,對機主的親人朋友行騙。
如果Apple ID綁定了信用卡,則信用卡可能會被盜刷。
實驗3 ID密碼被「釣」後如何進行反制
要通過郵箱驗證等方式重置ID密碼
蘋果公司IOS部門一線技術顧問王女士表示,首先要及時通過郵箱驗證或密保問題驗證等方式重置ID密碼,以保護自己帳戶的數據安全。密碼重置成功後,建議先關掉「查找我的iPhone」,這樣即便ID還被不法分子盯著,由於沒啟用「查找我的iPhone」,對方就是再次盜取了ID密碼也無法鎖機。
若遭竊的Apple ID密碼重置成功後,原來的帳戶還要繼續使用,建議同時把主郵箱也更改一下。改變主郵箱後,雖然Apple ID看似變化了,其實用的還是原來的帳號。
為提高安全性,還可以開啟「兩步驗證」,開通以後在需要輸入ID帳號密碼時,系統會給手機發送驗證碼。開啟兩步驗證後,遭破解的可能性很小。但如果所處環境通信信號不好的話,可能會給使用帶來一些不方便。另外,兩步式驗證的14位安全密鑰如果遺忘,是無法找回來的,一定要牢記。
還可以創建一個新ID,不過這樣一來舊ID下載的應用可能就沒法用了。有的人舊手機丟了,買了新手機還用老帳號,這樣也會存在一定隱患,建議最好更改為新ID和密碼。
有時,不法分子甚至把與Apple ID關聯的主郵箱的密碼也竊取了,甚至連找回密碼的密保問題也做了更改,這樣的話就沒有辦法再找回了。
按照蘋果公司技術顧問的介紹,華商報記者嘗試進行「兩步驗證」設置,發現初次設置後需要再等三天進行第二次設置。
蘋果技術人員:
開啟「丟失模式」設備官方售後不接受
是否能暫扣設備?蘋果公司回應稱不是執法部門
去年就曾發生過好萊塢影星豔照門事件,蘋果公司有沒有採取相應技術措施加以應對?
對於這個問題,蘋果公司IOS部門一線技術顧問王女士表示,當用戶使用蘋果設備和雲技術給生活帶來便利時,蘋果公司其實已將個人帳戶的權限和責任下放到客戶手中了。密保技術也在發展,但技術開發需要時間。Apple官方對密碼設置的要求很嚴格,比如不能重複、區分大小寫等,去年年底還推出了「兩步式驗證」。另外,系統對於個人帳戶的管理設置有參數,若發現異常就會立即停用帳號。
根據媒體報導的事例,一些失竊的蘋果設備被人採取技術手段刷機重新使用。王女士表示,雖然刷機很簡單,但刷完機還是需要激活的,不能激活是不能用的。蘋果官方售後有自己的工作原則,比如發現送來的設備若被機主開啟了「丟失模式」,官方售後是絕對不會接手的。至於個別機主提出來的「能否幫助機主暫時扣押設備」的問題,蘋果公司畢竟不是執法部門。
>>特別提醒
1、使用蘋果設備要有信息保護意識
西安電子科技大學楊超副教授提醒蘋果手機用戶,蘋果設備的使用體驗好,是由於它是建立在雲技術基礎上的。正因為這個原因,設備裡的通訊錄、照片、備忘錄、郵件以及應用數據、個人信息等可以被及時同步。但個人信息和隱私數據一旦被傳上雲端,保密性就會大打折扣。網際網路上沒有刪除鍵,數據一旦上傳,備份的數量不是機主能完全掌握的。而這些保存在雲端的數據,安全性就依賴於一個ID帳號和密碼。若ID密碼被竊取,在網絡平臺上看的就直接是明文數據。所以使用蘋果設備一定要有個人隱私保護意識和信息保護意識,不要在雲端備份諸如信用卡號、重要密碼、重要工作信息、與聯繫人的關係、私照等內容。
如果機主的是工作性質需要保密,或個人事務極其重要,儘量不要打開iCloud。對於存在雲端的數據,有必要及時進行整理刪除。另外,使用「查找我的iPhone」時,也要防止被人反制。
2、一定不要輕信各種帶網址連結的提醒
楊超副教授表示,有的用戶帳號容易被盜,可能還是跟個人使用習慣有關係。她提醒用戶,密碼設置要有技巧,比如可以大小寫、字母數字混合、注意長度,並定期進行更換。要防止使用弱密碼,比如生日密碼、常用短句、規律數字等。另外,要及時升級手機系統,不要越獄,越獄後設備更容易遭攻擊。不要輕信各種帶有網址連結的提醒。Apple ID密碼被竊,通常都是被不法分子通過釣魚網站、釣魚郵件、釣魚簡訊、釣魚電話套取到的。所以蘋果設備手機丟失後,不要輕信各種看起來非常切合情境的簡訊、郵件等形式的提醒,尤其不要點擊來自各種途徑的不清楚的連結。