На зміну пароля від облікового запису Apple ID на заблокованому iPhone 6s в експертів з безпеки Morphus Labs пішло менше трьох годин. Своїм експериментом фахівці підтвердили, що цифровий пароль і сканер відбитків пальців не повністю захищають смартфон від злому.
Історія для експертів Morphus Labs почалася тоді, коли до них звернувся чоловік. Він сказав, що у нього кількома днями раніше вкрали iPhone 6s, і зловмисники змінили паролі від Apple ID та інших облікових записів, а також спробували отримати дані банківських акаунтів. Власник вкраденого смартфона хотів дізнатися, як таке можливо.
За словами чоловіка, він втратив лише свій iPhone 6s. Зловмисники не знали його імені, не мали адресу електронної пошти або особистих даних. Через дві години після крадіжки чоловік також заблокував SIM-картку в смартфоні. Пароль був надійним і не збігався з цифровими комбінаціями з особистих даних.
Експерти вирішили піти шляхом шахраїв. Вони купили iPhone 6s і зареєстрували з нього Apple ID і акаунт в Google. Пошук у Google і Facebook за номером телефону нічого не дав, проте фахівці скористалися WhatsApp. Якщо месенджер приймає повідомлення від користувача, якого немає в його списку контактів, то воно відображатиметься поруч з номером телефону.
Фахівці відправили повідомлення на заблокований смартфон, і повідомлення відобразилося на екрані блокування. За допомогою 3D Touch на нього відповіли без розблокування смартфона, а потім додали контакт у групу WhatsApp. Після цього на заблокований смартфон відправили ще одне повідомлення й отримали ім’я і прізвище жертви. Номер телефону, ім’я та прізвище дозволили отримати e-mail власника смартфона.
Після цього змінити пароль Apple ID було справою техніки, скориставшись процедурою відновлення пароля за SMS до прив’язаного номера.
Повністю убезпечитися не вдасться, але можна суттєво ускладнити завдання зловмисникам. Для цього:
- відключіть повідомлення на заблокованому екрані;
- встановіть PIN-код для SIM-картки;
- використовуйте двофакторну аутентифікацію.