Joanna Stern i Nicole Nguyen z The Wall Street Journal otworzyły puszkę pandory. Okazało się, iż choć Apple robi naprawdę wiele w kwestii bezpieczeństwa swoich klientów – przez cały czas może robić więcej.
Choć w Polsce o tym się nie słyszy, to nie znaczy, iż nigdy do tego nie dojdzie. W USA rośnie fala przestępstw polegających na obserwowaniu (lub co gorsza budowaniu relacji) ofiar – a dokładniej wyczekiwaniu momentu, w którym wprowadzą one swój kod odblokowujący iPhone’a. W drugim kroku dochodzi do napaści lub kradzieży telefonu. W trzecim – przestępcy robią następujące rzeczy:
- odblokowują telefon, znając kod – Face ID jest tutaj bezużyteczne, bo po 2 nieudanych próbach i tak poprosi o kod
- wyłączają Find My
- zmieniają hasło do Apple ID (tutaj również wystarczy do tego znać kod blokady iPhone’a)
- usuwają wszystko co macie w iCloud (w wielu przypadkach to literalnie – całe cyfrowe życie ofiary)
- mogą zaciągnąć dług w ramach Apple Cash
- mogą dostać się do aplikacji bankowych – wiele osób ustawia wszędzie ten sam 4-cyfrowy PIN
… i wiele więcej. Apple, choćby jeżeli udokumentujecie, iż doszło do takiej napaści/kradzieży nie może zrobić nic. Nie ma dowodu, iż to nie wy zmieniliście Apple ID, a poza tym Apple nie może wejść na czyjeś konto ot tak, na życzenie.
Co zatem robić, aby się chronić?
Przede wszystkim:
- Używajcie 6-cyfrowego kodu blokady, a najlepiej alfanumerycznego – jest to uciążliwe, ale zdecydowanie ktoś nie zapamięta takiego kodu, bedącego np. całym zdaniem, patrząc na Wasz ekran telefonu zza ramienia.
- Nie wpisujcie kodu blokady iPhone’a w miejscach publicznych i komunikacji miejskiej (!) – ciągle to widzę i w głowie mi się to nie mieści. A jak już musicie – zasłońcie ekran drugą dłonią.
- Możecie rozważyć użycie Advanced Data Protection + klucza fizycznego.
- … i najważniejsze – myślcie co i gdzie robicie!
Co można było zrobić, aby do tego nie dopuścić?
Po pierwsze – uniemożliwić zmianę hasła do Apple ID znając tylko kod blokady. Jak? Przykładowo wymusić podwójne potwierdzenie na innym urządzeniu Apple, na które przez iCloud zostanie wysłany jednorazowy kod potwierdzający. Co więcej, Apple ma cały – gotowy – mechanizm, aby to w ten sposób zrobić, ponieważ korzysta z niego w innych miejscach systemu.
Po drugie – uniemożliwić ustawianie użytkownikom 4-cyfrowego kodu blokady (akurat Apple powinno być pierwszą firmą, która to przeforsuje).
Po trzecie – użyć tych miliardów dolarów leżących na kontach, aby system badał siłę ustawianego przez użytkownika kodu blokady i nie dopuszczał najprostszych kombinacji. C’mon – to Apple! Kto powinien to w ten sposób rozwiązać, jak nie oni?
Co dalej?
WSJ poprosiło Apple o komentarz. Rzecznik firmy odpowiedział:
Nasz dział bezpieczeństwa zgadza się, iż iPhone jest najbezpieczniejszym urządzeniem mobilnym dla konsumentów i każdego dnia niestrudzenie pracujemy, aby chronić wszystkich naszych użytkowników przed nowymi i pojawiającymi się zagrożeniami.
Współczujemy użytkownikom, którzy mieli takie doświadczenia i bardzo poważnie traktujemy wszystkie ataki na naszych klientów, bez względu na to, jak są rzadkie. Będziemy przez cały czas ulepszać zabezpieczenia, aby zapewnić bezpieczeństwo kont użytkowników.
Patrząc na to, jaką Apple ma relację z WSJ i samą Joanną Stern, spodziewam się, iż na WWDC 2023 zobaczymy już odniesienie do tej sprawy i jakieś zmiany. Czy wystarczające?
Na koniec dnia najlepszą ochroną jesteśmy my sami.