駭客能用iPhone復原密鑰，將用戶永久封鎖

《華爾街日報》（Wall Street Journal）報導，iPhone一項可用於回復密碼的功能，反而可讓駭客封鎖用戶，使其永遠無法再存取iCloud上的照片或檔案。

報導引述多位受害者現身說法，他們的iPhone在被竊或被搶走後，被駭客產生復原密鑰功能修改掉Apple ID密碼及切斷存取管道，使失主無法再存取iCloud，以及儲存的照片或檔案。

根據蘋果網頁，復原密鑰是一組隨機產生的28字元密碼，可在用戶忘記Apple ID密碼時發揮救援。用戶需結合復原密鑰、iPhone及信任的電話號碼來（即雙因素驗證）重設Apple ID密碼。另一個方式是輸入iPhone本身的passcode來重設Apple ID密碼。

當駭客取得用戶iPhone後，只要知道iPhone passcode，即可產生復原密鑰，藉此存取iCloud。進入iCloud後，駭客即可關閉Find My功能以免於被追蹤，或是變更連結iCloud帳戶的裝置，包括受害用戶的iPhone或是其他蘋果裝置，以防止受害者從其他裝置來取得存取權。此後，一旦駭客可全權存取受害者iCloud帳戶，即可為所欲為，包括竊取Apple Pay或其他銀行帳戶（如果有聯結）中的金鑰、竊取或讀取iPhone用戶相片、電子郵件，要刪光也可以。

蘋果警告，若受信任裝置及復原密鑰兩者都無法取得，用戶可能永遠無法存取其iCloud帳戶。只要駭客得知iPhone的passcode，就可以輕易變更用戶的存取憑證，即使手機開啟Face ID或Touch ID也擋不住，導致受害用戶再也無法存取其照片、電子郵件或檔案。

報導指出，蘋果政策下，用戶沒有復原密鑰幾乎不可能重新取得iCloud帳號權限，受害者也抱怨蘋果不願單方面幫他們重設復原密鑰。

報導引述蘋果方面的回應。該公司說對這些用戶的遭遇表達同情，蘋果一直在研究防止此類威脅的防護方法。

目前能防止被人篡奪個人記憶及個資的方法，是避免被陌生人看到iPhone passcode，例如改使用Face ID或Touch ID驗證登入iPhone。此外，使用英文字母及數字混合的passcode，也會比單純4位數passcode更不容易被第三人從旁讀取。這可以從「設定」App中的「Face ID & Passcode」>「變更Passcode」變更passcode組合。