小陈上班路上把手机丢了。他走到公司才发现口袋空了,翻遍了包也没有。赶紧借同事的手机拨了自己的号码,响了五六声后被人接起来了,对方说"你手机在我这儿"。小陈松了一口气,赶紧说"谢谢谢谢,你在哪儿我过去拿"。对方说"我在那边,你来吧"。小陈到了约好的地点等了半天,对方一直不出现。再打电话过去,对方说"你报警吧"。之后电话就再也打不通了。小陈没办法,只能挂失SIM卡、远程锁了手机。当时他想,手机锁了数据应该就安全了。但问题在于,他虽然远程锁了手机,但并没有停用iCloud的查找功能。手机被锁之后它仍然在线,而查找功能还在工作。拾到手机的人——这里称他为赵某——虽然打不开手机,但他看到手机屏幕上显示着"此iPhone已丢失,请联系某邮箱"。赵某没有联系那个邮箱,而是做了一件事——他把手机放在自己身上带着,正常生活了几天。这几天里,手机一直在后台向苹果服务器发送位置信息。赵某通过另一个苹果设备登录了同样的iCloud账号——怎么做到的呢?因为手机里的SIM卡虽然被锁了,但手机只要连接上WiFi就能联网。赵某在家里连接WiFi后,手机自动上报了位置。而赵某手头正好有一台iPad,他尝试登录小陈的iCloud账号。密码他不知道,但他在已锁定的手机上看到了小陈的邮箱地址。他用自己的手机号作为验证方式——小陈的手机号现在在他手上——重置了iCloud密码。重置成功后,赵某在iPad上登录了小陈的iCloud账号,打开了查找功能。地图上清清楚楚地显示着小陈新买的手机和新换的SIM卡对应的设备位置——因为小陈换了手机后登录了同一个iCloud账号。赵某看到了一个地址,直接找了过去。他找到了小陈的新家,敲门说"你手机在我这儿,给我两千块钱就还你"。小陈非常害怕,坚决不开门,报了警。但赵某连续几天都来敲门,有时候深夜来砸门。
这个泄密链条里每一个环节都踩中了安全漏洞。第一步是物理设备的丢失。手机丢失本身不是隐私泄露,但手机里存储的信息和绑定的账号决定了丢失后风险的大小。小陈的手机设置锁屏密码了吗?设了。但在锁屏状态下,一些信息还是可以被看到——比如通知栏的内容、锁屏界面的提示语、iCloud的找回邮件地址。第二步是账号密码的重置。这是关键的一步。赵某通过手机屏幕上的邮箱地址知道了小陈的iCloud账号,然后利用掌握的手机号来重置密码。苹果的账号找回流程中有"通过短信验证码重置密码"的选项,而小陈的SIM卡此时在赵某手里。这意味着重置验证码直接发到了赵某手上,他输入验证码就成功重置了密码。这是整个泄密链条中最致命的一环。第三步是查找功能的滥用。重置密码后,赵某用另一台设备登录了小陈的iCloud账号,开启了查找功能。他不仅能看到小陈之前手机的最后位置,还能看到小陈新设备的位置——因为小陈买了新手机后登录了同一个iCloud账号,位置信息全部共享了。第四步是物理胁迫的实施。赵某知道了小陈的新住址后,就有了面对面施压的能力。隔三差五上门要钱、砸门、蹲守——让小陈的生活彻底陷入恐慌。
手机丢失这件事几乎是每个人都可能遇到的情况。处理得当就是损失一部手机,处理不当可能就是一场持续数周的噩梦。几点非常重要的建议。第一,手机丢了之后的第一件事不是打电话找手机,而是立刻远程锁定设备并挂失SIM卡。先联系运营商挂失SIM卡,这一步非常关键——卡挂失了,对方就无法接收短信验证码,也就无法重置你的密码。第二,开启了查找功能的手机,丢失后要尽快使用丢失模式,并且在丢失模式里不要留自己的真实邮箱,更不要留手机号。可以留一个不常用的备用邮箱或者让朋友帮忙转发。第三,如果你已经换了新手机,记得修改iCloud密码。旧手机被捡走后,如果对方通过某种方式知道了你的旧密码或者重置了密码,新手机的位置也会被看到。第四,所有重要账号——微信、支付宝、银行卡——在手机丢失后都要尽快检查登录状态并修改密码。手机是一个人的数字钥匙,丢了它不只是丢了一台设备。平时也可以养成一些好习惯,比如不要在锁屏界面显示通知详情、开启iCloud的双重认证、定期备份数据。这些准备在手机真的丢了的时候,能帮你省去很多麻烦。
