В отчете издания The Wall Street Journal на прошлой неделе была поднята тревога по поводу очевидной, но пугающей проблемы с iPhone, которая позволяла преступнику получить контроль над вашим аккаунтом Apple. Но это не эксклюзив для iOS. Ваш аккаунт Google может быть скомпрометирован, если преступник украдет ваш телефон Android и его PIN-код, но есть способы защитить себя.
9to5Google имеет обновленную рассылку, которая освещает главные новости Google с дополнительными комментариями и другими интересными фактами. Подпишитесь здесь!
В отчете WSJ на прошлой неделе были приведены примеры владельцев iPhone, у которых были украдены телефоны, а затем скомпрометированы их аккаунты Apple, изменены пароли и получен доступ к другим аккаунтам, включая банковские. Это были не случаи продвинутых взломов, а скорее простая уязвимость безопасности. Используя код доступа (PIN) на iPhone, преступник, укравший его, мог изменять пароли аккаунтов и получать доступ к другим аккаунтам, не зная паролей владельца.
Как? В iOS пользователи могут использовать PIN-код телефона для изменения пароля своего Apple ID, а получить PIN-код так же просто, как увидеть, как владелец телефона вводит номер, или обманом заставить владельца телефона поделиться своим PIN-кодом.
Джоанна Стерн из WSJ привела пример «туманной атмосферы бара поздно вечером, полной молодых людей, где хищники знакомятся со своими жертвами и вынуждают их раскрыть свои коды доступа» как один из сценариев, где это могло произойти. Кроме того, некоторые из этих преступников использовали функцию Apple Recovery Key, которая фактически блокирует пользователей от их аккаунта без украденного iPhone.
Связанное: Apple должна инвестировать в функции защиты от краж для iPhone и iPad
Удивительно, но это может произойти и с телефонами Android, поскольку PIN-код — это все, что нужно для изменения пароля вашего аккаунта Google.
Мишал Рахман в Twitter описал, как это работает: в настройках аккаунта Google есть опция использования блокировки экрана вашего телефона Android для смены пароля аккаунта. Google разрешает это, поскольку запрос на изменение пароля исходит от устройства, которое «принадлежит вам», но дальнейшей верификации, кроме вашего PIN-кода, нет. Процесс Google, как правило, *сначала* предлагает ввести текущий пароль, но использование опции «забыли пароль» позволяет вместо этого использовать PIN-код.
Это, очевидно, вызывает беспокойство, поскольку означает, что украденный смартфон может привести к потере доступа к вашему аккаунту Google и многому другому, но в отчете отмечалось, что основная цель подобной практики, похоже, вращается вокруг iPhone, поскольку они, как правило, имеют более высокую цену перепродажи в США. По-видимому, 99% случаев, виденных детективом, были iPhone.
В заявлении для WSJ представитель Google сказал:
Наши политики входа в систему и восстановления доступа стараются найти баланс между предоставлением легитимным пользователям доступа к своим аккаунтам в реальных сценариях и недопущением злоумышленников.
Так что, даже если на Android это не очень вероятно, что вы можете сделать, чтобы защитить свой телефон и свой аккаунт?
Во-первых, вы также можете использовать биометрические данные — например, отпечаток пальца — чтобы посторонние не видели ваш PIN-код.
Также не будет лишним избегать хранения конфиденциальных данных на устройстве, например, в приложениях для заметок или фотогалерее. Это могут быть номера социального страхования, изображения паспортов или другие удостоверения личности, поскольку эти преступники могут нанести еще больший ущерб, если у них будет легкий доступ к этой информации.
Далее, вы можете усилить защиту своего телефона. По умолчанию Android запрашивает только четырехзначный PIN-код, но вы можете сделать его намного длиннее. Телефоны Pixel поддерживают PIN-коды длиной до 17 цифр. Графический ключ Android также сложнее украсть, подглядывая, и вы можете использовать полный пароль, чтобы создать очень сложный код.
Другие способы защиты приложений могут включать отключение биометрической/PIN-защиты для этих приложений или, по крайней мере, использование PIN-кодов, отличных от того, который используется для разблокировки телефона. Отдельный менеджер паролей также может быть очень полезен вместо использования встроенного в ваше устройство.
Другой вариант — использовать опцию Google «Расширенная защита». Это блокирует возможность смены пароля с использованием PIN-кода, но требует использования двух физических ключей безопасности.
Подробнее об Android: