手機安全「羅生門」

上月底,《華爾街日報》以「iPhone的基本功能幫助犯罪份子竊取你的整個數字生活」為標題作頭版,指犯罪份子正利用iPhone設計上的弱點,聚焦於盜取passkey及生物特徵密碼,然後奪去手機,繼而截取了受害者人「整個數字生活的訪問權」,包括銀行賬戶,並在此過程中盜取資金。報社採訪了部份受害者,發現他們的手機都在公眾場所被搶或被盜,而且大多發生於晚上。失去手機短時間內蘋果帳戶遭鎖定,然後銀行賬戶資金被轉走或出現了大量的Apple Pay付款等。報告指如果竊賊能夠獲得手機的用戶密碼,就可以通過手機的設置,重新設置受害者的蘋果ID密碼,以及改變Touch ID或Face ID設定,又可關閉手機的「查找我的iPhone」設置,受害者根本無法找到丟失的設備及取回帳戶控制權。報導矛頭直指蘋果手機安全問題。蘋果公司對報道作出回應,認為其下手機仍是最安全的移動裝置,繼續推進用户安全云云。上述盜竊案件,其實不限於iPhone,其它品牌手機一樣遇上,iPhone風險感覺上較高,可能只因市佔率較大而已。

用家行為被賊人盯上

到底是手機安全設計的問題,還是用家的問題?其實答案相當明顯。只要你是用國際大牌子的手機,被「暴力解鎖」可能性甚低。但若果用戶選擇不正確的方法,歹徒便有機可乘。從上述事件不難看出歹徒先利用Shoulder Surfing取得PIN,又或確定目標人物是利用指紋解鎖,然後出手。大多人都習慣在乘搭交通工具時溜手機,絕大部份人都嫌麻煩而只選用PIN或圖型,只要站在目標人物背後窺看一段時間,幾乎百分百PIN碼到手。亦有集團運作,專門於某有利位置按裝高清監控鏡頭,看到有人輸入密碼輸然後建立目標。亦有趁手機解鎻時搶奪。指紋解鎖亦很容易破解只要令目標人物失去知覺便可。另一方面,用家的不良習慣令損失加重。首先是大量安裝軟件,過度將個人資料、理財、生活與手機捆綁。其次是不少軟件例如電郵、理財、即時通訊等,支援額外密碼輸入但未有開啓動。不少用家但求方便,讓手機自動管理填入帳戶名稱及密碼。亦有將個人賬戶設定忘記密碼時利用手機收取短訊方式重設,而非利用加密電郵,取得手機就可奪取這些帳戶的控制權。用戶漫不經意儲存大量個人、親人及朋友的資料,歹徒進行身份盜竊,還趁機借用身份聯絡其他人詐騙。

高規格對待手機安全

(pixabay)
(pixabay)

既然手機如此重要,就必須以高規格進行安全管理,首先是基本功夫要做足。手機解鎖應避免用數字及圖案,而是使用字符組合的密碼。不要使用生物特徵解鎖,在極權控制的地區這點猶其重要。輸入密碼時請環顧四周,包括上方的閉路電視。避免在擠迫或密閉的地方例如升降機等解鎖。手機螢幕貼上私隱貼,並減低螢幕亮度,縮短自動上鎖的時間。檢查手機上鎖後的功能,確保支付功具要解鎖後才可使用。除非你有密碼管理軟件支援額外密碼登入,避免使用手機管理登入帳戶資料及密碼。選擇使用支援額外密碼及有遠距登出功能的軟件。檢視所有重要帳戶,確保重設密碼的方法以收取加密電郵方式進行。避免利用手機處理含有敏感個人資料的交易。電子錢包最好與借貸卡而非信用卡綁定,需要時才將資金轉入借貸卡。若使用信用卡請設定交易限額。現時大部份手機都設有緊急情況不解鎖版面,不要輸入個人資料,改以上鎖畫面顯示備用電郵地址,再轉發到私人及親人電郵。治安較差的地方,手機不宜露眼。筆者還有幾個高級技巧可分享。請替你的賬戶制定Recovery Key,並收藏於手機以外的地方,需要時可用作取回賬戶的控制權。使用多個賬戶將軟件分開,每個賬戶都使用不同密碼,擁有管理權限的賬戶應甚少使用。安裝之前本欄介紹過的開源軟件,在遇上搶掠動作時啟動上鎖,又或與藍芽裝置配對,藍芽離線自動上鎖。請選用e-SIM或開啟SIM Lock,即使電話被盜,賊人亦無法將你的SIM卡用在另一手機上,假借你的電話號碼作身份掩飾或行騙。

賊人往往是取易捨難,你做足安全功夫,賊人便找其它目標。從宏觀而言,筆者當然更希望人人了解風險所在,人人皆採取行動,賊人便無機可乘。◇

------------------

🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮

🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand