不怕密碼外洩 iPhone新增「遭竊裝置防護」

苹果手机如果被窃，里面的密码资料甚至银行帐户，都可能被盗。华尔街日报实测提醒使用者可以作业系统中设定防盗功能，若手机失窃可以减少损失的风险。(取自Apple网站)

苹果(Apple)22日释出iOS 17.3作业系统版本更新，新增「遭窃装置防护」(Stolen Device Protection)设定，这层防护能在装置失窃时，避免有心人士盗用密码解锁，进一步窃取重要个人资料或财务。

华尔街日报报导，苹果此次发布软体更新，是全美各地iPhone手机失窃事件一年来的调查回应；在这类窃盗事件中，窃贼得手iPhone后，可迅速更改被害人的iPhone密码及其他设定，将被害人反锁在自己的苹果帐户之外，接着领光银行储蓄、盗刷信用卡等。

一名正在明尼苏达州监狱服刑的iPhone窃贼表示，他曾利用苹果先前这个漏洞，窃取数百支iPhone，不法获利数十万元。

「遭窃装置防护」让窃贼更难钻漏洞，手机密码是当脸部辨识(Face ID)与指纹辨识(Touch ID)失败后的另一层防护。

当窃贼取得手机密码，便能为所欲为，包括利用密码变更苹果帐户(Apple ID)，这样原使用者便无法重新登入、停用「寻找我的iPhone」，还能存取云端钥匙圈(iCloud Keychain)中储存的密码，包括银行和虚拟货币应用程式的密码。

此外，窃贼还能启用复原密钥(recovery key)，利用内建的「安全性设置」永远锁定使用者的苹果帐户。若窃贼要将iPhone变现，则可利用密码删光装置内容，转售得利。

有鉴于此，使用者更新iOS 17.3之后，开启「遭窃装置防护」功能，当使用者离开iPhone熟悉的地点，如住家或工作场所，iPhone便会限制密码取用权限。

换言之，若iPhone在酒吧遭窃，窃贼需要突破两层防护才能取用密码更改设定。这两层防护依序为脸部与指纹生物辨识验证(Face ID or Touch ID biometric authentication)以及安全延迟(security delay)。

脸部与指纹生物辨识验证是指网页取用密码或付款时，需要透过脸部或指纹生物验证，而输入密码将不再是替代方案。

安全延迟则是使用者要修改敏感设定，如更改Apple ID密码、启用密钥或停用「寻找」功能等，则需额外两步骤验证；iPhone会先要求提供生物辨识验证，接着倒数一小时，之后再次要求生物辨识验证，两次验证都通过之后，才能更改设定。